管中窥豹，从DVP数据看中心化交易所的安全现状

FIRST 前言

自DVP上线以来就不断收到各种区块链相关产业的漏洞，出于各种原因，平台目前收到的漏洞绝大多数都是与加密货币交易所有关，交易所是加密货币的“交通枢纽”，其安全问题尤为重要，然而根据目前DVP平台的漏洞数据来看，其现状是令人担忧的。

SECOND 交易所的安全现状

我们先来看一张图，如下：

以上数据是来自dvpnet.io的真实数据，其中的严重漏洞和高危漏洞的数量以及占比非常惹眼，严重漏洞有38个，占比2.12%，高危漏洞高达656个，占比36.52%。

这些数据意为着：有相当一部分交易所存在严重隐患，一些严重漏洞可导致交易所的资金安全受到严重威胁，一些高危漏洞可导致平台用户的资金安全受到严重威胁，这些严重漏洞是加密货币交易所的“隐藏炸弹”，等到它们爆发之时便是一桩桩交易所的盗窃丑闻。

那么这些交易所易受哪些漏洞攻击呢？

通过上图可以发现交易所最多的是设计缺陷/逻辑漏洞，其次是注入类漏洞，该类漏洞是Web领域中比较常见的漏洞，主要有SQL注入、代码注入、XXE等，然后便是敏感信息泄露以及访问控制缺陷。

存在漏洞不可怕，及时修复就好，而更令人担忧的是，从DVP的数据来看，一些高度危险的厂商在通报其漏洞之后，却还是在相当长的一段时间内未修复。

于是，有相当一部分交易所，其实成为了黑客的"后花园"，等待果实成熟之日便是收割之时。

THIRD 常见漏洞Top 5

1.Actuator的安全隐患

由于很多一些交易所是使用SpringBoot框架开发而成，在使用SpringBoot应用监控组件Actuator的时候配置不当的话会产生安全隐患，该漏洞在DVP有数个案例，且影响比较严重。

漏洞成因：

由于很多交易所使用Spring框架搭建，并且使用了Actuator监控，当Actuator配置不当时，便会引发严重的敏感信息泄露，如：用户cookie、数据库账号密码等。

详细介绍文章：

https://xz.aliyun.com/t/2233

DVP公开案例：

某处敏感信息泄露:

https://dvpnet.io/info/detail/id/814

防范措施：

1.不对外开放Actuator

2.引入spring-boot-starter-security依赖

2.四位短信验证码的安全隐患

四位纯数字验证码导致的任意注册/任意密码重置等漏洞，该类型漏洞在DVP中案例非常多，影响广泛。

漏洞成因：

由于很多交易所在使用短信验证码验证的时候发送的是四位验证码，而且验证码没有次数限制与时间限制，导致验证码极易被暴力破解，一旦找回密码的短信验证码被破解，平台用户的账户密码便会遭到篡改。

详细介绍文章见：

https://cloud.tencent.com/developer/news/207587 0x04节

DVP公开案例：

任意密码重置漏洞：

https://dvpnet.io/info/detail/id/397

防范措施：

1.使用6位验证码

2.验证码增加次数、时间限制

3.TradingView组件的XSS漏洞

TradingView是比较流行的画K线前端组件，被很多交易所使用，但该组件存在安全问题，影响几百个交易所，导致很多大型交易所的用户受到账号被盗用的风险，在DVP中有70余案例。

漏洞成因：

很多交易所在通常会使用一些非权威第三方库来进行高效开发，但是使用第三方库会导致安全不可控，相当于一颗定时炸弹。

详细介绍文章见：

https://mp.weixin.qq.com/s/yfbKf_5Nk2NXFl2-xlFqKg

DVP公开案例：

满币网交易所存在TradingView XSS：

https://dvpnet.io/info/detail/id/5977

防范措施：

1.TradingView 库 bundles ⽬目录下有个 library 开头的 js ⽂文件，检查这个⽂文件是否存在getsc ript(urlParams.indicatorsFile)如果存在，临时解决⽅方案可以把代码改为：getsc ript("")

2.引入CSP机制

4.假充值漏洞

充值流程是中心化交易所中非常非常重要的一个环节，直接影响到平台的资金安全，假充值漏洞已经发生过诸多攻击案例，如：ERC20代币假充值、USDT假充值、瑞波币假充值、门罗币假充值。

漏洞成因：

有一部分交易所在用户充值流程中，直接通过链上的某个日志或者某个区块信息来作为充值凭据，这是非常不严谨的，很容易导致平台给用户增加的余额与用户真实充值不符，导致平台中增发流通了一部分"假币"，对平台和投资者都会造成严重影响。

详细介绍文章见：

https://mp.weixin.qq.com/s/yfbKf_5Nk2NXFl2-xlFqKg

防范措施：

严格校验平台钱包内的真实余额

5.短信接口滥用问题

交易所在注册流程和找回密码流程中一般都需要用到短信验证码，而目前市面上的短信接口都是需要付费的，所以短信接口能直接对平台一部分资金造成影响，该问题影响非常广泛，在DVP中有100多案例。

漏洞成因：

有一部分交易所在用户发送短信时，没对发送短信的频率、时间做后端限制，导致攻击者可以滥用接口消耗平台资金、利用接口恶意轰炸他人手机号等。

详细介绍文章见：

http://www.gzsec.org/?p=101

DVP公开案例：

OKEx短信接口滥用：

https://dvpnet.io/info/detail/id/328

防范措施：

1.对平台用户调用短信接口做频率以及时间限制

FOURTH 解决方案

1.自行或依赖第三方发布Bug Bounty，号召白帽子进行安全测试。

2.与安全厂商合作定期进行安全服务。

3.组建安全应急响应团队，跟踪实时安全热点，定期进行渗透测试，完善安全开发流程(SDL)。

4.加强自身安全性，使用WAF、IDS等辅助提高安全强度。

◆来源：https://bcsec.org/index/detail/tag/2/id/294

◆本文版权归原作者所有，如有侵权请联系我们及时删除

扫码加入微信社群

扫码关注微信公众号