Sàn giao dịch tiền mã hóa Thổ Nhĩ Kỳ Sistemkoin đã kiếm được 68 triệu đô la về khối lượng trong khoảng thời gian 24 giờ tại thời điểm viết bài. Tuy nhiên, theo báo cáo từ một nhà nghiên cứu người dùng và bảo mật, có những vấn đề bảo mật quan trọng với sàn giao dịch.
Có hai khía cạnh trong báo cáo của người theo dõi ẩn danh của chúng tôi. Đầu tiên, bất kỳ ai có chương trình Burpsuite và tài khoản Sistemkoin đều có thể thỏa hiệp hỗ trợ vé cho những người dùng khác. Người theo dõi ẩn danh của chúng tôi đã dành hơn một tuần để cố gắng thông báo vấn đề cho sàn giao dịch nhưng không có phản hồi.
Lỗ hổng vé hỗ trợ: Một vấn đề lớn
Một số người có thể tự hỏi vấn đề thực sự là gì nếu những người khác có thể thấy vé hỗ trợ của bạn. Thỏa thuận lớn, phải không? Chà, hãy tưởng tượng nếu ai đó đóng giả làm nhân viên hỗ trợ yêu cầu bạn vô hiệu hóa xác thực hai yếu tố. Hoặc, tiết lộ thông tin cá nhân để xác minh tài khoản của bạn. Có rất nhiều vectơ tấn công có thể tưởng tượng được khi có khả năng giả làm nhân viên.
Khía cạnh khác của lỗ hổng bảo mật là hầu hết các vé mà nguồn tin của chúng tôi thấy có liên quan đến vấn đề rút tiền. Điều này nên được quan tâm với lý do rõ ràng.
1) Thực hành bảo mật cơ bản không được tuân theo.
2) Người dùng thực sự có vấn đề khi thực hiện rút tiền.
Rút tiền có lẽ là khía cạnh quan trọng nhất của sàn giao dịch mã hóa. Bất kỳ hành vi lừa đảo được thực hiện tốt có thể xử lý một khoản tiền gửi. Chỉ có sàn giao dịch hợp pháp mới có thể xử lý rút tiền một cách đáng tin cậy và nhất quán. Một sự kiện thường niên có tên là ‘Proof of Keys’, nhằm kiểm tra tính hợp lệ của các sàn giao dịch bằng cách tạo ra nhiều tiền cho một ngân hàng.
Sàn giao dịch hợp pháp như Binance thực sự không có vấn đề gì trong những thời điểm như thế này. Khi mô hình kinh doanh vững chắc và phần mềm được viết đúng cách, tác động tiềm năng duy nhất của nó là giảm khối lượng giao dịch tạm thời.
Tweet của Sistemkoin ngày hôm nay:
https://twitter.com/SistemKoin/status/1086207001229778944
(Do một bản cập nhật trên máy chủ nơi đặt ví BTC, hoạt động gửi và rút BTC đã bị tạm dừng.
Sau khi cập nhật, tất cả các địa chỉ ví trong sàn giao dịch của chúng tôi sẽ được gia hạn. Tất cả các nhà đầu tư của chúng tôi cần tạo lại ví BTC và thực hiện tất cả các khoản tiền gửi BTC bằng ví mới).
Hầu hết đều là vấn đề rút tiền
Trong mọi trường hợp, phần lớn các vé dường như bị bỏ qua, vì có rất nhiều câu hỏi từ nguồn của chúng tôi. Như nguồn tin của chúng tôi cho biết:
“Trong khi lướt xem sistemkoin.com, tôi đã tìm thấy một vài lỗ hổng nghiêm trọng và nhận xét về vé hỗ trợ của bất kỳ người dùng sàn giao dịch nào. […] Khi họ không phản hồi, tôi đã xem qua vài vé hỗ trợ và thấy rằng hầu hết các vé hỗ trợ là về việc người dùng phàn nàn vì họ không thể rút token”.
Quá trình này bao gồm một người dùng Sistemkoin chỉ cần thay thế một số vé hỗ trợ bằng loạt vé khác. Tác giả không phải hacker nên không thể hiểu toàn bộ quá trình liên quan, nhưng nguồn tin sau đó đã tiết lộ quy trình của anh ta dưới dạng ảnh chụp màn hình cho chúng tôi:
“Trong khi thấy kẻ tấn công vé hỗ trợ chặn yêu cầu đến máy chủ và thay đổi tham số id vé hỗ trợ thành vé hỗ trợ của nạn nhân bằng cách sử dụng bất kỳ công cụ nào như bộ công cụ burp”, nguồn tin đã thông báo cho chúng tôi.
Kẻ tấn công có thể nhìn thấy vé hỗ trợ người dùng khác, nguồn tin cho biết.
Sistemkoin đã được liên hệ để giải thích về vấn đề này. Tạp chí Bitcoin sẽ cập nhật thêm thông tin sớm nhất.
Theo TapchiBitcoin/CCN