管中窥豹,从DVP数据看中心化交易所的安全现状

匿名者  2282天前

图片.png

FIRST 前言

自DVP上线以来就不断收到各种区块链相关产业的漏洞,出于各种原因,平台目前收到的漏洞绝大多数都是与加密货币交易所有关,交易所是加密货币的“交通枢纽”,其安全问题尤为重要,然而根据目前DVP平台的漏洞数据来看,其现状是令人担忧的。

SECOND 交易所的安全现状

我们先来看一张图,如下:

图片.png

以上数据是来自dvpnet.io的真实数据,其中的严重漏洞和高危漏洞的数量以及占比非常惹眼,严重漏洞有38个,占比2.12%,高危漏洞高达656个,占比36.52%

这些数据意为着:有相当一部分交易所存在严重隐患,一些严重漏洞可导致交易所的资金安全受到严重威胁,一些高危漏洞可导致平台用户的资金安全受到严重威胁,这些严重漏洞是加密货币交易所的“隐藏炸弹”,等到它们爆发之时便是一桩桩交易所的盗窃丑闻。
图片.png
图片.png

图片.png

那么这些交易所易受哪些漏洞攻击呢?

图片.png

通过上图可以发现交易所最多的是设计缺陷/逻辑漏洞,其次是注入类漏洞,该类漏洞是Web领域中比较常见的漏洞,主要有SQL注入、代码注入、XXE等,然后便是敏感信息泄露以及访问控制缺陷。

存在漏洞不可怕,及时修复就好,而更令人担忧的是,从DVP的数据来看,一些高度危险的厂商在通报其漏洞之后,却还是在相当长的一段时间内未修复。


图片.png

于是,有相当一部分交易所,其实成为了黑客的"后花园",等待果实成熟之日便是收割之时。

THIRD 常见漏洞Top 5

1.Actuator的安全隐患

由于很多一些交易所是使用SpringBoot框架开发而成,在使用SpringBoot应用监控组件Actuator的时候配置不当的话会产生安全隐患,该漏洞在DVP有数个案例,且影响比较严重。

漏洞成因:

由于很多交易所使用Spring框架搭建,并且使用了Actuator监控,当Actuator配置不当时,便会引发严重的敏感信息泄露,如:用户cookie、数据库账号密码等。

详细介绍文章:

https://xz.aliyun.com/t/2233

DVP公开案例:

某处敏感信息泄露:

https://dvpnet.io/info/detail/id/814

防范措施:

1.不对外开放Actuator

2.引入spring-boot-starter-security依赖

2.四位短信验证码的安全隐患

四位纯数字验证码导致的任意注册/任意密码重置等漏洞,该类型漏洞在DVP中案例非常多,影响广泛。

漏洞成因:

由于很多交易所在使用短信验证码验证的时候发送的是四位验证码,而且验证码没有次数限制与时间限制,导致验证码极易被暴力破解,一旦找回密码的短信验证码被破解,平台用户的账户密码便会遭到篡改。

详细介绍文章见:

https://cloud.tencent.com/developer/news/207587 0x04节

DVP公开案例:

任意密码重置漏洞:

https://dvpnet.io/info/detail/id/397

防范措施:

1.使用6位验证码

2.验证码增加次数、时间限制

3.TradingView组件的XSS漏洞

TradingView是比较流行的画K线前端组件,被很多交易所使用,但该组件存在安全问题,影响几百个交易所,导致很多大型交易所的用户受到账号被盗用的风险,在DVP中有70余案例。

漏洞成因:

很多交易所在通常会使用一些非权威第三方库来进行高效开发,但是使用第三方库会导致安全不可控,相当于一颗定时炸弹。

详细介绍文章见:

https://mp.weixin.qq.com/s/yfbKf_5Nk2NXFl2-xlFqKg

DVP公开案例:

满币网交易所存在TradingView XSS:

https://dvpnet.io/info/detail/id/5977

防范措施:

1.TradingView 库 bundles ⽬目录下有个 library 开头的 js ⽂文件,检查这个⽂文件是否存在getsc ript(urlParams.indicatorsFile)如果存在,临时解决⽅方案可以把代码改为:getsc ript("")

2.引入CSP机制

4.假充值漏洞

充值流程是中心化交易所中非常非常重要的一个环节,直接影响到平台的资金安全,假充值漏洞已经发生过诸多攻击案例,如:ERC20代币假充值、USDT假充值、瑞波币假充值、门罗币假充值。

漏洞成因:

有一部分交易所在用户充值流程中,直接通过链上的某个日志或者某个区块信息来作为充值凭据,这是非常不严谨的,很容易导致平台给用户增加的余额与用户真实充值不符,导致平台中增发流通了一部分"假币",对平台和投资者都会造成严重影响。

详细介绍文章见:

https://mp.weixin.qq.com/s/yfbKf_5Nk2NXFl2-xlFqKg

防范措施:

严格校验平台钱包内的真实余额

5.短信接口滥用问题

交易所在注册流程和找回密码流程中一般都需要用到短信验证码,而目前市面上的短信接口都是需要付费的,所以短信接口能直接对平台一部分资金造成影响,该问题影响非常广泛,在DVP中有100多案例。

漏洞成因:

有一部分交易所在用户发送短信时,没对发送短信的频率、时间做后端限制,导致攻击者可以滥用接口消耗平台资金、利用接口恶意轰炸他人手机号等。

详细介绍文章见:

http://www.gzsec.org/?p=101

DVP公开案例:

OKEx短信接口滥用:

https://dvpnet.io/info/detail/id/328

防范措施:

1.对平台用户调用短信接口做频率以及时间限制

FOURTH 解决方案

1.自行或依赖第三方发布Bug Bounty,号召白帽子进行安全测试。

2.与安全厂商合作定期进行安全服务。

3.组建安全应急响应团队,跟踪实时安全热点,定期进行渗透测试,完善安全开发流程(SDL)。

4.加强自身安全性,使用WAF、IDS等辅助提高安全强度。

◆来源:https://bcsec.org/index/detail/tag/2/id/294

◆本文版权归原作者所有,如有侵权请联系我们及时删除

扫码加入微信社群

图片.png

扫码关注微信公众号

图片.png

最新评论

昵称
邮箱
提交评论