区块链的各类安全事故中,作为加密货币流通场所的数字资产交易平台一直是重灾区,API接口遭黑客攻击、用户账户被盗等安全事件频出。这一次,黑客盯上了展示行情的第三方组件。
昨日,多家区块链安全平台预警,一个第三方组件存在名为XSS 0day的漏洞。降维安全实验室预警时指明,该组件为TradingView,供交易平台展示行情使用。
公开信息显示,多家数字资产交易平台使用了该组件,包括币安、Bitfinex、火币Pro和Bithumb等这类大型知名平台。
慢雾科技预警称,该漏洞如被恶意利用,会导致数字货币交易所等平台的用户账号权限被盗、恶意操作等资产损失。
所幸,这一漏洞预警已被区块链安全平台下发给TradingView公司和涉及到的一些交易所。但安全人员透露,仍不乏影响力较大的交易平台轻视了该漏洞。
文|苏勇
交易所行情展示组件藏漏洞
如果你多打开一些交易平台的行情页面,你就会发现,不少行情展示区的左下角都会显示,行情数据和表格来自TradingView。
据公开信息显示,TradingView本身是全球最大的图表技术分析交流社区,后来由TradingView公司开发成为行情展示第三方组件工具,不但大部分数字资产交易平台在使用,连证券和期货这些传统金融交易平台也是它的用户。
蜂巢财经查询后发现,在日交易量排名前十的交易所中,使用TradingView展示行情的包括币安、Bitfinex、火币和Bithumb等知名数字资产交易平台。
这一次,被区块链安全公司视作“高危漏洞”的XSS 0day就藏在这个与用户天天见面的工具里。而这一漏洞被定性为“高危”,经历近半个月的时间。
据慢雾科技消息,前后有两位白帽黑客反馈了XSS 0day漏洞。9月4日,第一位白帽黑客向慢雾科技反馈该漏洞,并把这个漏洞危害等级定义为“低危”。在相关交易所平台修复后,慢雾科技也没特别在意,直到9月18日,第二位白帽黑客和他们再次提及了这个漏洞后,他们开始对所有用户下发XSS漏洞预警。
“降维安全也在两个礼拜之前就关注到这个漏洞,并且通过内部通知流程,陆续通知合作方修复。”降维安全实验室的运营负责人孙越接受蜂巢财经采访表示,已经有白帽黑客在Github上向TradingView官方报送了此漏洞,目前所有使用该组件且没有针对存在漏洞的JS文件(JavaScript语言写就的文件)做修补操作的交易所,都存在这个漏洞。”
从事区块链技术开发的Frozen表示,XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。
慢雾科技和降维安全实验室都提到,XSS漏洞一旦被恶意利用,黑客便可以获得用户的登陆权限,恶意操纵将带来资产损失。
已出现用户账号被劫持情况
XSS漏洞如此严重,为何会长期存在于交易所的TradingView组件中?
对此,孙越解释,主要原因在于TradingView一直属于一个第三方前端框架,一般条件下,它的安全不太引人关注。但是一旦使用它的是需要保障高安全性的系统,存在漏洞就会造成巨大危害。
“目前我们并没有收到直接因为XSS攻击而造成财产损失的案例,但已经有多起因为这个漏洞而劫持用户账户并进行操作的情况发生。”孙越说,早期也有类似的漏洞发生,但是如此大范围的存在于数字货币交易所场景中还是第一次。
孙越强调,此次安全事件的责任方主要在TradingView公司,但交易所在选择第三方库时也应注意其安全性,需要及时关注官方的安全通告和第三方发布的安全预警。
目前已有部分交易所对此漏洞进行了修复,降维安全实验室也在第一时间紧急为其客户推送了修复方案,“但仍有不少交易所轻视这个问题,其中不乏有一些影响力较大的交易所。”对于具体包括哪些大交易所,孙越表示不方便透露。
使用TradingView的火币Pro更早时间发现了这一问题,相关人员告诉蜂巢财经,他们在8月份时就发现了该漏洞,已经进行修复。
用户要养成定期修改密码的习惯
但凡是计算机程序,都会存在BUG,区块链安全问题从来没有终极解决办法。对于如何防范类似安全事故发生,孙越认为,第三方公司、交易平台和用户应该各自为自己的产品、客户和资产安全保持警醒。
孙越说,TradingView公司在代码发布前应该尽量做完善的代码审计,避免这种低级错误再发生。
而交易平台要慎重选择第三方库,保持对第三方库安全事件的关注,同时要与安全公司有良好的沟通,及时了解这些信息。除此之外,交易平台安全机制的加强也可以一定程度上保护用户,缓解漏洞危害。
对于广大的交易平台的使用者,孙越提醒,用户应该选择那些积极进行漏洞修复的平台进行交易,养成良好的安全习惯,“定期修改密码,在离开交易平台网站后,应从交易所网站手动下线,必要时手动清空cookie,这也能在一定程度上缓解被黑客攻击的风险。”
区块链技术开发者Frozen也提示,用户不要轻易连接不明WiFi,不要轻易相信搜索引擎给的某些所谓官网链接,更不要轻易点开他人给的链接。
为方便交流,请加蜂姐微信(微信号:fengchaocaijing),拉你进入“蜂巢财经反割联盟”,定期组织嘉宾分享,交流行业干货。
閱讀更多 蜂巢財經News 的文章
