“tradeRifle”漏洞再曝交易所安全风险——LBank交易所移动终端可被中间人攻击提取数字资产

PeckShield

百家号18-07-1218:45

在披露火币OTC服务平台存在“tradeRifle”漏洞之后,区块链安全公司PeckShield漏洞实验室发现又一交易所LBank移动终端(包括Android和iOS)存在相关“tradeRifle”安全漏洞。攻击者可从用户登录后的任意数据报文中截获用户Token(临时令牌),并可通过Token进行重放攻击,创建订单任意发交易请求。更为严重的是,用户在进行数字货币的提币操作时容易被中间人攻击,这可能会导致用户数字资产被窃取。PeckShield安全研究人员确认了该漏洞的存在,并第一时间通知到Lbank交易所技术团队,在协助其完成终端修复、更新后发布此文披露细节。

710晚11时,LBank交易所官发出公告称,其收到区块链安全公司PeckShield发出的“tradeRifle”漏洞预警通知。并表示LBank技术团队已经完成对该漏洞的紧急修补、版本升级,并声明该漏洞未对平台的运及用户资产安全造成影响。

漏洞细节描述

首先我们展示下正常的用户登录、币币交易和提币的流程。如图1所示,用户在登录后服务器将返回该用户的Token作为用户身份标识,用户使用Token即可进行币币交易。

(图1: 普通用户发起交易和提币流程)

虽然为了提高用户安全性,LBank交易所在用户登录时使用双因素认证,但由于整个通讯都使用的是http,攻击者可以通过窃听登录后的任意协议报文来捕获用户Token(如图2所示),只要用户不退出,攻击者即可通过此Token简单的进行重放攻击发布交易请求。

(图2: 用户登录后的任意数据报文中包含的Token)

利用捕获到的用户Token ,攻击者可以极低的价格卖出用户数字货币来窃取用户资产。如果攻击者拥有大量受害用户,还可能会造成市场行情大幅波动。另一方面攻击者,在数字货币的提币流程中,也很容易受到中间人攻击,如图3所示。

(图3: 用户提币过程被中间人攻击)

攻击者可无视提币时的邮箱、google身份验证器等多因素安全认证,只需在用户发送提币操作时实施中间人攻击,篡改提币信息。图4中为中间人攻击实例的数据报文,其中标红部分为提币地址和数量,攻击人可截获并篡改用户明文数据报文,从用户账户里窃取任意数量数字资产。

(图4: 攻击测试篡改提币信息的数据报文)

本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。

返回顶部