漏洞再藏交易所黑客盯上行情區財經頭條網

漏洞再藏交易所黑客盯上行情區

區塊鏈的各類安全事故中，作為加密貨幣流通場所的數字資產交易平臺一直是重災區，API接口遭黑客攻擊、用戶賬戶被盜等安全事件頻出。這一次，黑客盯上了展示行情的第三方組件。

昨日，多家區塊鏈安全平臺預警，一個第三方組件存在名為XSS 0day的漏洞。降維安全實驗室預警時指明，該組件為TradingView，供交易平臺展示行情使用。

公開信息顯示，多家數字資產交易平臺使用了該組件，包括幣安、Bitfinex、火幣Pro和Bithumb等這類大型知名平臺。

慢霧科技預警稱，該漏洞如被惡意利用，會導致數字貨幣交易所等平臺的用戶賬號權限被盜、惡意操作等資產損失。

所幸，這一漏洞預警已被區塊鏈安全平臺下發給TradingView公司和涉及到的一些交易所。但安全人員透露，仍不乏影響力較大的交易平臺輕視了該漏洞。

文|蘇勇

交易所行情展示組件藏漏洞

如果你多打開一些交易平臺的行情頁面，你就會發現，不少行情展示區的左下角都會顯示，行情數據和表格來自TradingView。

據公開信息顯示，TradingView本身是全球最大的圖表技術分析交流社區，後來由TradingView公司開發成為行情展示第三方組件工具，不但大部分數字資產交易平臺在使用，連證券和期貨這些傳統金融交易平臺也是它的用戶。

蜂巢財經查詢後發現，在日交易量排名前十的交易所中，使用TradingView展示行情的包括幣安、Bitfinex、火幣和Bithumb等知名數字資產交易平臺。

這一次，被區塊鏈安全公司視作“高危漏洞”的XSS 0day就藏在這個與用戶天天見面的工具裡。而這一漏洞被定性為“高危”，經歷近半個月的時間。

據慢霧科技消息，前後有兩位白帽黑客反饋了XSS 0day漏洞。9月4日，第一位白帽黑客向慢霧科技反饋該漏洞，並把這個漏洞危害等級定義為“低危”。在相關交易所平臺修復後，慢霧科技也沒特別在意，直到9月18日，第二位白帽黑客和他們再次提及了這個漏洞後，他們開始對所有用戶下發XSS漏洞預警。

“降維安全也在兩個禮拜之前就關注到這個漏洞，並且通過內部通知流程，陸續通知合作方修復。”降維安全實驗室的運營負責人孫越接受蜂巢財經採訪表示，已經有白帽黑客在Github上向TradingView官方報送了此漏洞，目前所有使用該組件且沒有針對存在漏洞的JS文件（JavaScript語言寫就的文件）做修補操作的交易所，都存在這個漏洞。”

從事區塊鏈技術開發的Frozen表示，XSS漏洞是一個跨域漏洞，一旦用戶流量被劫持就十分危險，黑客將用戶的JS文件替換成自己修改過的，就可以為所欲為。

慢霧科技和降維安全實驗室都提到，XSS漏洞一旦被惡意利用，黑客便可以獲得用戶的登陸權限，惡意操縱將帶來資產損失。

已出現用戶賬號被劫持情況

XSS漏洞如此嚴重，為何會長期存在於交易所的TradingView組件中？

對此，孫越解釋，主要原因在於TradingView一直屬於一個第三方前端框架，一般條件下，它的安全不太引人關注。但是一旦使用它的是需要保障高安全性的系統，存在漏洞就會造成巨大危害。