數字貨幣:“tradeRifle”安全漏洞細節披露，可能導致用戶在交易所內的資產被盜_TRA

編者按：本文來自PeckShield，星球日報經授權轉載。

7月4日晚間，區塊鏈安全公司PeckShield發出安全警告稱：發現某個數字貨幣交易所提供的場外OTC平臺存在名為“tradeRifle”的安全漏洞，攻擊者可利用此漏洞介入數字貨幣交易流程，竊取平臺用戶的數字資產，給用戶和交易所帶來嚴重的安全威脅。7月5日午時，火幣網官方發出公告稱，火幣接到安全機構PeckShield發出的名為“tradeRifle”的場外交易平臺漏洞報告，火幣安全團隊已經完成對該漏洞的緊急修補，未對火幣場外交易平臺的運行及用戶資產安全造成影響。現如今，數字貨幣交易所在區塊鏈金融交易體系中扮演著極為重要的角色，OTC交易所提供一種更簡單的法幣與數字貨幣之間的線下交易方式，但正因為如此，線下交易存在的安全風險也會更大。PeckShield通過對多個頂級OTC交易所的分析，發現其中火幣OTC移動端存在一種“中間人攻擊”的安全漏洞，我們將之命名為“tradeRifle”，具體表現為：一、攻擊者可以竊取買家/賣家敏感交易信息，修改并重放數據報文來模擬發出特權指令；二、攻擊者可以通過中間人攻擊的方式偽造商家銀行賬號給已下單的買家，以騙取本用于支付訂單的法幣。

NBA芝加哥公牛隊將在Coinbase推出其標志性LOGO的NFT系列“The Aurochs”:9月9日消息，NBA芝加哥公牛隊宣布計劃于本月底之前在Coinbase NFT市場推出基于其56年歷史LOGO的NFT系列“The Aurochs”。據悉，芝加哥公牛隊標志性LOGO由商業設計師迪恩·韋塞爾（Dean Wessel）創建，迄今從未更改過，目前芝加哥公牛隊已邀請了來自NFT行業的超過23位技術嫻熟的藝術家和設計師，包括Michael Salisbury、Bobby Hundreds、Blake Jamieson和Maliha Abidi來重新設計其NBA標NFT，這些NFT將在以太坊區塊鏈上鑄造，擬于9月22日開始拍賣，起拍價為0.2 ETH。（business2community）[2022/9/9 13:19:05]

在披露詳細攻擊細節前，值得一提的是，我們在7月4日發出漏洞預警后，火幣網安全團隊迅速做出回應，并在我們的技術支持下迅速修復了此漏洞，并未給用戶帶來直接損失。“tradeRifle”攻擊細節：如圖1所示，正常OTC交易流程,買家需要發起三個連續請求給OTC服務器以創建訂單并獲取賣家信息，之后買家可給賣家銀行賬戶轉賬。支付操作完成買家再向OTC服務器發送付款成功通知并由服務器轉發給賣家。賣家收到通知，確認法幣到賬后釋放數字貨幣給買家，至此一筆買幣交易流程結束。

金融行動特別工作組督促各國盡快引入“Travel Rule”立法:6月30日消息，全球標準制定者金融行動特別工作組（FATF）發布的一份報告指出，“各國當局需要對加密用戶的身份進行快速檢查，并督促尚未引入“Travel Rule”立法的國家盡快引入相關規則，FATF管轄區更應以身作則。”FATF的39個直接成員包括美國、英國、德國和中國，但它也負責監督百慕大和塞浦路斯等較小司法管轄區的活動。

該報告指出，在98個接受調查的司法管轄區中，只有11個正在執行和監督被稱為“Travel Rule”的有爭議的措施。FATF的報告援引現已公開的2022年3月調查數據稱，雖然四分之一本應通過法律的國家現在正在這樣做，但大約三分之一的國家甚至還沒有提出法案。[2022/6/30 1:42:22]

然而，圖1中所有數據傳輸都是通過http而不是安全協議https實現，通訊過程很容易受到中間人攻擊和重放攻擊。舉例來說，如圖1中所示的BankInfo請求報文部分，可以發起中間人攻擊篡改銀行卡信息，使買家在以為在給商家轉賬時卻將法幣轉入攻擊者賬號而無法獲得數字貨幣。

數字藝術家Pplpleasr首次在Solana上發布NFT藝術品“The Collectoooooor”:11月13日消息，數字藝術家Pplpleasr（又稱Emily Yang）本周在里斯本舉行的Solana Breakpoint會議期間，Pplpleasr與Cloud Eater Studios、基于Solana的Metaplex協議合作創建“The Collectoooooor”，該NFT項目共計500件作品，包括3D鴨子、建筑物、UFO等。

Pplpleasr表示，“The Collectoooooor”被設計成“像元宇宙動物之森（Animal Crossing）一樣，玩家根據配方收集不同的資產來‘制作物品’作為升級。”在Solana上首次推出一個項目對于Pplpleasr來說是新的體驗，但她認為這是一個漫長的過程。“（Decrypt）[2021/11/13 6:50:30]

圖3顯示了買家發送的http請求，用于在攻擊測試中查詢賣家的銀行信息。

圖4是JSON格式的數據查詢結果。

由于OTC服務使用的是http明文協議，攻擊者可以很容易篡改服務端返回的銀行帳戶信息。另一種是重放攻擊，攻擊者可通過此攻擊對賣家直接造成嚴重的數據資產損失。下面我們繼續介紹它的工作原理。先通過通過竊聽一個賣家確認放幣的操作，攻擊者可以獲取賣家的Token和密碼。

此后攻擊者可以對該受害者賣家進行另一筆交易，攻擊者可以自己釋放受害者賣家在售的所有數字貨幣資產。

(圖6：冒充賣家的重放攻擊)

Tags：NFTOTCTRA數字貨幣KNFT價格hotcoinglobal交易所在中國有備案嗎Neverend Ecentralization Could Exange數字貨幣騙局最新消息

DOT