作者:阿甫哥哥
原文来自:超100家交易所高危漏洞导致50亿价值数字资产受威胁
近日,Punisher安全团队联合HELM区块链安全实验室根据蜜罐捕捉到了一枚交易所的0day。据分析,此0day是由于某开发方代码于地下黑市源码泄露而导致的一些漏洞被发掘。
Punisher安全团队捕捉到的是一枚逻辑漏洞,黑客可以通过漏洞修改交易所任意账户的密码,并绕过Google安全验证码和短信验证码。据了解,还有一枚可以直接获取webshell权限的漏洞仍在地下黑市流传。
据了解,使用此代码的交易所超过100家,目前存在漏洞的超过20家(此处为了保护交易所安全不公布受影响范围)。Punisher安全团队深入调查,发现在半年前有更多使用此源码的交易所,有一部分在黑客的摧残下倒闭。
Punisher安全团队对其交易量进行统计,预计交易额达到50多亿(以其官网的数据为参考),已确认统计有44亿。
为了保证更多交易所的资金安全,督促其及时及修复漏洞,Punisher安全团队对此漏洞以及黑客的攻击手法进行分析披露,并提供修复方式,希望各大交易所防患于未然。
此漏洞存在于找回密码处,此套源码的整站验证逻辑均存在问题。
黑客只需注册自己的账户,当接收到的邮件时,黑客可以更换成要改用户的邮箱进行密码重置。同样的,利用手机验证码找回也是如此。
这里我们不管手机验证码和Google验证码为多少,也不用发送,只需要直接修改返回的json内容。
根据HELM安全实验室威胁情报系统提供的情报,发现有几家交易所大量的账户被修改而引发了暂停访问或者维护,但被盗去数字货币的的仅仅是是账户资金比较大的用户。而后punisher安全团队进一步分析推断黑客的攻击手法并尝试复原。
此时,黑客修改密码后无法确定哪一个账户上有大量资金,但是这时候可以写脚本批量登录,获取用户各个币种的数量。
<ignore_js_op>
我们进一步进行了跟踪此次0day造成的攻击事件,发现如果交易所修复不完善则可能使被攻击过的用户再次遭受攻击,因为遭受过攻击的用户若被黑客绑定Google验证码之后用户无法正常解绑。
后续跟踪交易所的动态,发现有些交易所因此受到用户的怀疑,并且平台币有大幅度波动。
<ignore_js_op>
<ignore_js_op>
5、提币时ip有异常应当警报。
Punisher团队致力于交易所漏洞挖掘、智能合约审计,只为建立良好的区块链安全生态,为各个交易所安全护航,无意影响各个交易所的业务。由于此漏洞已在黑市中遭利用,为避免平台与用户损失,对此披露提醒各大交易所自检。Punisher安全团队与HELM区块链安全实验室也愿意协助修复。
感谢HELM区块链安全实验室对此次攻击事件的支持,其威胁情报的提供为了为此次的分析提供了完整的素材和思路。
这里为HELM区块链安全实验室打个小广告,HELM区块链安全实验室专注区块链安全研究,交易所威胁情报,有多家交易所安全审计的经验,并将在未来协助监管机构,为区块链行业的规范与安全而努力
大家有任何问题可以提问,更多文章可到i春秋论坛阅读哟~