首页 > 百科 > 交易所再出漏洞 这次是大家天天在看的行情区

交易所再出漏洞 这次是大家天天在看的行情区  百科

2018-11-05   15:08             评论:0         阅读:

想必大家也没少听说交易所被黑客袭击的事件吧?前几日日本最大的交易所还遭遇黑客了呢。近日,在国内交易所又发出了预警,疑似出现安全漏洞。这次与往常的黑客袭击还有所不同,这次预警是通过一个组件引起的,这究竟是怎么回事呢?下面小编为大家介绍一下吧。

  想必大家也没少听说交易所被黑客袭击的事件吧?前几日日本最大的交易所还遭遇黑客了呢。近日,在国内交易所又发出了预警,疑似出现安全漏洞。这次与往常的黑客袭击还有所不同,这次预警是通过一个组件引起的,这究竟是怎么回事呢?下面小编为大家介绍一下吧。

 

  昨天,多家区块链安全平台预警,一个第三方组件有叫做XSS 0day的漏洞。据了解,这个组件是TradingView,交易平台展示行情时会使用。

 

  很多数字资产交易平台都采用了该组件,包括币安、Bitfinex、火币Pro和Bithumb等大型知名平台。

 

交易所再出漏洞 这次是大家天天在看的行情区

       据称,该漏洞若被恶意利用,会引起交易所等平台的用户账号权限被盗、恶意操作等造成资产损失。

 

  幸运的是,该漏洞已被区块链安全平台下发给TradingView公司和涉及到的一些交易所。据透露,部分影响力较大的交易平台轻视了该漏洞。

 

  交易所行情展示组件藏漏洞

 

  多打开一些交易平台的行情页面,就会发现,不少行情展示区的左下角都会显示,行情数据和表格来自TradingView。

 

  据了解,它本身是全球最大的图表技术分析交流社区,后来被TradingView公司开发成行情展示第三方组件工具,不仅大多数的数字资产交易平台在使用,就连证券和期货这些传统金融交易平台也都在使用。

 

  经过调查发现,在日交易量排名前十的交易所中,用它展示行情的包括币安、Bitfinex、火币和Bithumb等知名数字资产交易平台。

 

  这次,被区块链安全公司视作“高危漏洞”的XSS 0day就藏在这个用户每天都会看的工具里。

 

  据消息,先后有两位白帽黑客反馈了XSS 0day漏洞。9月份,第一位白帽黑客反馈该漏洞,并把这个漏洞危害等级定义为“低危”。在相关交易所平台修复后,并没有特别在意,随后的一周左右,第二位白帽黑客再次和他们提及了这个漏洞,他们对全部用户下发XSS漏洞预警。

 

  “降维安全也在两个礼拜之前就关注到这个漏洞,且通过内部通知流程,陆续通知合作方修复。”降维安全实验室的运营负责人孙越接受采访表示,已经有白帽黑客在向TradingView官方报送了这个漏洞,现在全部使用该组件且没有针对存在漏洞的JS文件做修补操作的交易所,都有这个漏洞。”

 

  从事区块链技术开发的Frozen表示,该漏洞是一个跨域漏洞,若用户流量被劫持会非常危险,黑客把用户的JS文更改成自己修改过的,便可以“肆意妄为”。

 

  不仅如此,该漏洞一旦被恶意利用,黑客便能得到用户的登陆权限,恶意操纵会带来资产损失。

 

  已出现用户账号被劫持情况

 

  该漏洞这么严重,怎么会长期出现在交易所的TradingView组件中?

  

对此,孙越解释道,主要原因在于TradingView一直是一个第三方前端框架,一般情况下,它的安全大家都很少关注。可一旦使用它的是需要保障高安全性的系统,出现漏洞就会有非常巨大的危害。

  

“现在我们没有收到直接因为该漏洞造成财产损失的案例,但已经有很多因为该漏洞劫持用户账户且进行操作的情况发生。”孙越说,起初也有这样的漏洞发生,但是这么大范围的出现在数字货币交易所场景中还是第一次。

 

  他强调说,这次安全事件的责任方主要在TradingView公司,可交易所在选择第三方库时也要注意其安全性,需要及时关注官方的安全通告和第三方发布的安全预警。

 

  现在已有部分交易所对此漏洞进行了修复,降维安全实验室也在第一时间紧急为客户推送了修复方案,“但还有很多交易所轻视这个问题,其中还有部分影响力较大的交易所。”具体包括哪些大交易所,孙越没有透露。

 

  使用TradingView的火币Pro更早的发现了这个问题,相关人员说,他们在8月份就发现了该漏洞,及时进行修复。

 

  用户要养成定期修改密码的习惯

 

  只要是计算机程序,都会有漏洞,区块链安全问题从来没有彻底的解决办法。怎么防范安全事故发生,孙越认为,第三方公司、交易平台和用户要各自为自己的产品、客户和资产安全保持警醒。

 

  孙越说,TradingView公司在代码发布前应该尽量做完善的代码审计,避免这种低级错误再发生。

 

  而交易平台要慎重选择第三方库,保持对第三方库安全事件的关注,同时要和安全公司有良好的沟通,及时了解这些信息。不仅如此,交易平台安全机制的加强也能在一定程度上保护用户,缓解漏洞危害。

 

  对广大的交易平台的使用者,孙越提醒,用户要选择积极进行漏洞修复的平台进行交易,养成良好的安全习惯,“定期修改密码,在离开交易平台网站后,要从交易所网站手动下线,可以手动清空cookie,这也能缓解被黑客攻击的风险。”

 

  区块链技术开发者Frozen也提醒到,用户不要轻易连接不明WiFi,不要轻信搜索引擎给的某些所谓官网链接,更不要轻易点开他人给的链接。

 

  值得庆幸的是,这次漏洞并没有让很多用户丢失财产。不过经过此次事件也给大家提了个醒,不管是交易平台、还是第三方平台或者是用户,一定要保持警醒,但凡有一点异常一定得重视起来,不可轻视。想了解更多相关内容的朋友,请继续关注小编。



交易所

版权声明:本文系比特之窗作者原创稿件,版权归比特之窗所有。转载须注明“文章来源,比特之窗”,违者必究。

上一篇:什么是比特币的51%攻击?可以预防吗?
下一篇:科普:区块链的作用以及对发展产生的影响

阅读排行榜

频道入口: 行情 区块链技术 比特币 竞争币 ICO 专栏 论坛 导航 创投 百科 科技 今日行情 活动峰会 原创 独家 专题 24H快讯 交易所公告

比特之窗
APP
扫码下载

比特之窗
微信公众号
LianBtc789

比特之窗
官方QQ群
697983415