区块链安全咨询公司 曲速未来 观点:如果做不到不为自己的加密控制私钥,那么你就会无法控制它们发生的情况。这句话是多么真实。网上有很多关于人们如何使用他们的Exchange帐户被黑客攻击的例子。其中一些是以下结果:
- 社交工程 - 永远不要分享密码
- 用户安全设置 -始终利用强大的安全设置,例如2FA和IP白名单。
- 加密交换安全体系结构 -仅使用具有最佳实践安全体系结构的交换
被黑着起初就是不相信这发生了什么,但现在已经相信他的Quoine /Liquid帐户可能已被泄露。研究人员一探究竟。
这一切是怎么发生的呢?
Quoine/Liquid安全设置
首先,先启用了他们允许的所有Quoine交换机的安全设置。
交换安全措施允许登录密码,Google 2FA,登录时的电子邮件确认和提款地址的白名单。由于某些原因,所以无法在不联系工作人员的情况下禁用它,因此2FA会以奇怪的方式设置。
作为一个通常促进交易量的交易所,它将其置于前20个交易所,具体是登录会话和IP详细信息。
将Liquid与Binance上的安全设置进行比较:
1.防止伪造的Binance网站
2.撤销地址的白名单
3.短信和/或Google身份验证
4.用于访问Binance网站的已批准设备
5.次登录会话的详细信息
究竟是发生了什么?
现在有了安全设置,所以不希望自己个人帐户上进行未经授权的访问。考虑启用2FA并启用登录电子邮件通知。从理论上讲,还应该在2018/10/17收到一封来自Liquid的电子邮件,类似于以下内容:
那天据反映没有收到电子邮件。相反,在2018-10-17的时候液体0.32醚平衡被卖给了摩纳哥(MCO),几乎是没有。
这是黑客将使用的一种策略,因为他们无法撤回到某个地址:
- 使用自己的账户选择低流量的流动性令牌(在这种情况下为MCO/ETH)
- 以更高的价格定价随机令牌(当市场价格为0.02以太时,0.0398以太)
- 使用自己个人的帐户以高价购买这些令牌
- 现在根据帐户上留下了毫无价值的代币(0.5 MCO~USD $ 2.40)
- 它们留有更高价值的代币(0.32以太)
该如何是好?
在研究人员注意到这种不规则之后,便与Liquid支持人员联系,他们回复:
显然这是不够的,因为都没有进行这些交易。同样非常令人担忧的是,研究人员甚至没有在17月10日收到Liquid.com上的电子邮件通知。
虽然他们已经表示他们正在进一步调查,但自从研究人员要求更新以来都没有回应。
区块链安全咨询公司 曲速未来 告诫:交易所安全漏洞不仅对受影响的人而且对整个行业都有重大影响。这是一个严重的问题。如果存在安全漏洞且影响到更多的人,那么Liquid团队需要立即就此情况公布。
本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。