伴随着数字资产交易全球化,交易所作为连接区块链世界和现实世界的枢纽,在这里聚集着大量的财富,这就使得交易所被黑客攻击成为一件并非新鲜的事情。同时由于各国监管的滞后性,导致数字资产成为黑客眼中的肥肉,各大交易所顺理成章成为地下黑客们攻击的首选目标,造成安全事故不断。据不完全统计,截止目前全球数字货币交易所因安全问题而遭受损失金额已超过 29 亿美元(数据来源 SlowMist Hacked)。
在刚刚过去的 5 月 2 日,台湾交易所 BitoPro 的 XRP 遭遇“假充值”攻击,导致价格出现崩盘现象,据悉损失约 700 万个 XRP。这让“假充值”漏洞再次被推上风口浪尖,历史上慢雾安全团队曾披露过的几大币种及新币种假充值问题,假充值攻击可以让攻击者轻易获取目标交易所或钱包上大量资产,从而造成巨量损失。
几大币种假充值问题:
1、USDT 假充值:USDT 虚假转账安全⻛险分析 | 2345 新科技研究院区块链实验室
2、 以太坊代币假充值:以太坊代币“假充值”漏洞细节披露及修复方案
3、 XRP 假充值:Partial Payments - XRP Ledger Dev Portal
https://developers.ripple.com/partial-payments.html
可见“假充值”漏洞俨然已成为区块链生态里不可忽视的一种漏洞类型,我们很难要求所有程序员都能写出最佳安全实践的代码,当出现不严谨的校验方式便会导致攻击发生,那么如何规避这类风险才是交易所们更应该关心的。
然而由于交易所安全防护系统的维护成本非常高,除了头部交易所之外,众多中小交易所的安全防护等级较低。为应对“假充值”漏洞频发的现状,慢雾安全团队研发出“假充值漏洞扫描器(False Top-up Vulnerability Scanner)”,针对“假充值”漏洞进行检测与防御,可支持 USDT 、以太坊代币、XRP、EOS、门罗币等主流区块链及近期新起的知名公链的假充值漏洞扫描,从而降低交易所安全维护成本,为开发者提前规避被攻击的风险。
慢雾科技作为一家区块链安全公司,一直在深耕生态安全领域,为生态开发者们提供安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务。同时针对 EOS 生态定制 EOS 天眼、DApp 防火墙 FireWall.X 两款产品,现在推出的“假充值漏洞扫描器(False Top-up Vulnerability Scanner)”,旨在为交易所开发者们从正面解决“假充值”的痛点,从而让行业得到更好的发展。
如有需求的可以直接联系慢雾安全团队:
team@slowmist.com
注:假充值漏洞扫描器(False Top-up Vulnerability Scanner)由于安全风险问题,无法公开使用,请数字货币交易所等项目方邮件沟通后由慢雾安全团队进行授权模式下的检测及防御。
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
