编者按:本文来自PeckShield,星球日报经授权转载。
7月4日晚间,区块链安全公司PeckShield发出安全警告称:发现某个数字货币交易所提供的场外OTC平台存在名为“tradeRifle”的安全漏洞,攻击者可利用此漏洞介入数字货币交易流程,窃取平台用户的数字资产,给用户和交易所带来严重的安全威胁。7月5日午时,火币网官方发出公告称,火币接到安全机构PeckShield发出的名为“tradeRifle”的场外交易平台漏洞报告,火币安全团队已经完成对该漏洞的紧急修补,未对火币场外交易平台的运行及用户资产安全造成影响。现如今,数字货币交易所在区块链金融交易体系中扮演着极为重要的角色,OTC交易所提供一种更简单的法币与数字货币之间的线下交易方式,但正因为如此,线下交易存在的安全风险也会更大。PeckShield通过对多个顶级OTC交易所的分析,发现其中火币OTC移动端存在一种“中间人攻击”的安全漏洞,我们将之命名为“tradeRifle”,具体表现为:一、攻击者可以窃取买家/卖家敏感交易信息,修改并重放数据报文来模拟发出特权指令;二、攻击者可以通过中间人攻击的方式伪造商家银行账号给已下单的买家,以取本用于支付订单的法币。
OKX CEO:Uppsala此前针对Terra调查涉及钱包地址“terra13s”系OKX热钱包:7月3日消息,OKX CEO Jay Hao发推表示,CoinDesk近期发布的关于区块链分析公司Uppsala Security对Terra崩盘期间链上数据调查涉及的“terra13s”系OKX的热钱包,人们所看到的交易应该是交易员在不同的交易所转移资金。这个地址持有客户资产,不是一个节点地址,也不参与任何DAO投票。因此Uppsala认为“terra13s”等钱包地址由一个实体管理的结论并不成立。CoinDesk也就此进行了更正。[2022/7/3 1:47:30]
在披露详细攻击细节前,值得一提的是,我们在7月4日发出漏洞预警后,火币网安全团队迅速做出回应,并在我们的技术支持下迅速修复了此漏洞,并未给用户带来直接损失。“tradeRifle”攻击细节:如图1所示,正常OTC交易流程,买家需要发起三个连续请求给OTC服务器以创建订单并获取卖家信息,之后买家可给卖家银行账户转账。支付操作完成买家再向OTC服务器发送付款成功通知并由服务器转发给卖家。卖家收到通知,确认法币到账后释放数字货币给买家,至此一笔买币交易流程结束。
Do Kwon提出“Terra生态复兴计划2”:金色财经消息,据Terra社区网站显示,Do Kwon提出了一项新的“Terra复兴计划”。
具体包括,1.将Terra链分叉成一条没有算法稳定币的新链,旧链被称为Terra Classic(token Luna Classic–LUNC),新链被称为Terra(token Luna–LUNA);
2.Luna将在Luna Classic质押者、Luna Classic持有者、剩余UST持有者和Terra Classic的重要应用程序开发人员之间空投;
3.TFL的钱包地址将在空投白名单中移除,使Terra成为完全社区拥有的链;
4.通过代币通胀来激励网络安全,目标质押回报率为每年7%。
Kwon表示,该计划仍在与社区协商中,具体细节可能会发生变化,提案将在代币持有者投票通过后生效。Kwon承诺投票将于5月18日开始。[2022/5/17 3:20:50]
然而,图1中所有数据传输都是通过http而不是安全协议https实现,通讯过程很容易受到中间人攻击和重放攻击。举例来说,如图1中所示的BankInfo请求报文部分,可以发起中间人攻击篡改银行卡信息,使买家在以为在给商家转账时却将法币转入攻击者账号而无法获得数字货币。
彭博首席策略师称以太坊或已成为“The ? Word”赢家:彭博首席策略师Mike McGlone在推特上指出:“以太坊是不是已成为‘The ? Word’比特币活动的赢家?”他还称,以太坊正在加入黄金和比特币的“混战”,并分享了一张图表,显示ETH紧跟比特币的上涨。今年早些时候,McGlone曾在推特上表示,以太坊对金融科技行业的革命性,就像比特币对于黄金一样。但他并非偏爱其中一方,除了看好ETH以外,他还认为比特币的价格有望达到10万美元。(U.Today)[2021/7/26 1:16:41]
图3显示了买家发送的http请求,用于在攻击测试中查询卖家的银行信息。
图4是JSON格式的数据查询结果。
由于OTC服务使用的是http明文协议,攻击者可以很容易篡改服务端返回的银行帐户信息。另一种是重放攻击,攻击者可通过此攻击对卖家直接造成严重的数据资产损失。下面我们继续介绍它的工作原理。先通过通过窃听一个卖家确认放币的操作,攻击者可以获取卖家的Token和密码。
此后攻击者可以对该受害者卖家进行另一笔交易,攻击者可以自己释放受害者卖家在售的所有数字货币资产。
(图6:冒充卖家的重放攻击)
标签:TERTerraOTCLUNsuter币做什么的terra币和luna币lunchotcoinglobal交易所怎么样luna币做空挣了1300万的女
据CNN报道,韩国政府已拨出5万亿韩元预算,用于8个关键领域的投资项目,重点是区块链和人工智能.
1900/1/1 0:00:00跨链是公链领域正在着手解决的问题之一。从业者普遍认为,未来公链/联盟链众多,不同链之间的资产需要有一个可信的交换场所或机制,同时跨链也有助于扩大数字货币的使用场景.
1900/1/1 0:00:00根据CNN消息,加密猫公司发布了三只NBA球星StephenCurry造型的以太猫,预计将发售六位数。但不久后,一家名为FounderStarcoin声称加密猫公司剽窃其创意,将其告上法庭.
1900/1/1 0:00:00本文来自:链研所,作者:林可,星球日报经授权转发。矿机战场,凛冬将至。币价不向好,连带矿机的销量也接连下跌.
1900/1/1 0:00:00区块链支付初创公司Ripple最近发布了二季度瑞波币市场报告,与去年第四季度和今年第一季度相比,2018年二季度的瑞波币销售额大幅下降.
1900/1/1 0:00:00本文来自:火星财经,作者:袁晔,星球日报经授权转发。在区块链领域,从BP/白皮书撰写,路演PPT制作,GitHub上的程序开发众包,社群运营,媒体宣传,到落地执行,早就有了完整的一整个顾问服务产.
1900/1/1 0:00:00