О нас
ФФ - Главный криптодайджест! Все самые интересные и важные события сразу на русском.
Платформа Trader trends (tt.ff.ru) – сервис решений для трейдеров и держателей криптоактивов. Подключайся и следи за портфелями профессиональных трейдеров.
Объем торговли турецкой криптовалютной биржи Sistemkoin за последние 24 часа составил $68 миллионов. Однако, согласно отчету пользователя и исследователя безопасности, существуют значительные проблемы с безопасностью биржи.
Есть два аспекта в отчете нашего анонимного информатора. Во-первых, любой, у кого есть программа Burpsuite и учетная запись Sistemkoin может взломать заявку в службу поддержки других пользователей. Инофрматор потратил более недели, пытаясь уведомить биржу о проблеме, но не получил ответа.
Уязвимость заявки в службу поддержки: серьезная проблема
Некоторые могут задаться вопросом, в чем заключается проблема, если другие могут видеть вашу заявку. Казалось бы, несерьезное дело? Представьте, что кто-то, выдающий себя за службу поддержки, просит вас отключить двухфакторную аутентификацию. Или, раскрыть личную информацию, чтобы «подтвердить свой аккаунт». Существует множество способов атаки, ели есть возможность выдать себя за персонал биржи.
Другой аспект уязвимости заключается в том, что большинство заявок были связаны с проблемами со снятием средств. Это должно вызывать вопросы по очевидным причинам.
1. Основные правила безопасности не соблюдаются.
2. У пользователей действительно проблемы с выводом средств.
Вывод средств, пожалуй, является самым важным аспектом крипто-бирж. Любой знающий мошенник может обработать депозит. Только законные биржи могут надежно и последовательно обрабатывать снятие средств. Ежегодное мероприятие Proof of Keys проверяет законность бирж, вызывая массовое снятие средств со счетов.
У законных бирж, как Binance, нет никаких проблем с этим. Когда бизнес-модель здорова и программное обеспечение правильно работает, единственным потенциальным эффектом бирж является временное падение объема торговли.
Сегодня Sistemkoin написали в Твиттере:
«Из-за обновления на сервере, где расположены биткоин-кошельки (BTC), депозиты и снятие BTC были приостановлены. После обновления все адреса кошельков на нашей бирже будут восстановлены. Все наши инвесторы должны воссоздать кошельки BTC и сделать все депозиты BTC, используя новые кошельки»
Большинство заявок были связаны с проблемами снятия средств
В любом случае, большинство заявок также игнорируются, как и многочисленные запросы нашего источника. Как сказал наш источник:
«Во время просмотра на сайте sistemkoin.com, я нашел несколько критических уязвимостей, благодаря которым я мог просматривать и комментировать заявки в службу поддержки любого пользователя биржи. Поскольку они не ответили, я просмотрел несколько заявок и обнаружил, что большинство из них касаются пользователей, жалующихся, что они не смогли вывести токены»
Процесс прост: пользователь биржи заменяет номер заявки номером другой заявки. Ниже представлен более точный процесс:
При просмотре заявки в службу поддержки злоумышленник перехватывает запрос на сервер и изменяет параметр идентификационного номера заявки на номер заявки жертвы с помощью любого инструмента.
Злоумышленник может видеть заявки других пользователей.
Sistemkoin пока не предоставили ответ на жалобы.
Читайте также: Взломанные данные клиентов ведущих криптовалютных бирж мира продаются в даркнете?
Было интересно? Ставьте 👍 (like) и подписывайтесь на канал zen.yandex.ru/ff_ru