Турецкий криптообмен Sistemkoin заработал $68 миллионов за 24-часовой период на момент написания статьи. Однако, согласно отчету пользователя и исследователя безопасности, с обменом возникают серьезные проблемы с безопасностью.
Есть два аспекта нашего анонимного сообщения. Во-первых, любой, у кого есть программа Burpsuite и учетная запись Sistemkoin для компрометации билетов поддержки других пользователей. Наш консультант потратил больше недели, пытаясь сообщить о проблеме, не получив ответа.
Уязвимость службы поддержки: серьезная проблема
Некоторые могут задаться вопросом, в чем проблема на самом деле, если другие могут увидеть ваш билет поддержки. Большое дело, верно? Хорошо, представьте, если кто-то, выдавая себя за службу поддержки, попросит вас отключить двухфакторную аутентификацию. Или раскрыть личную информацию, чтобы «подтвердить свою учетную запись». Существует множество возможных направлений атак, которые становятся возможными, когда они могут выдавать себя за сотрудников.
Другим аспектом уязвимости является то, что большинство билетов, которые наш источник видел, были связаны с проблемами с выводом средств. Это должно быть поводом для беспокойства по понятным причинам.
1) Основные правила безопасности не соблюдаются.
2) У пользователей действительно возникают проблемы с выводом средств.
Вывод средств является, пожалуй, самым важным аспектом крипто-обмена. Любой хорошо сделанный мошенник может обработать депозит. Только законные обмены могут надежно и последовательно обрабатывать снятие средств. Ежегодное мероприятие под названием «Proof of Keys» проверяет действительность бирж, создавая то, что составляет банк.
Законные биржи, такие как Binance, в такие дни буквально не имеют проблем. Когда бизнес-модель разумна и программное обеспечение написано правильно, единственным потенциальным эффектом является временное падение объема торговли.
Сегодня СистемKоин пишет в Твиттере:
🇬🇧Due to an update on the server where BTC wallets are located, BTC deposits and withdrawals has been paused.
After the update, all the wallet addresses in our exchange will be renewed. All our investors need to re-create BTC wallets and make all BTC deposits using new wallets. pic.twitter.com/6mj9eK2Qye
— SistemKoin (@SistemKoin) January 18, 2019
Большинство билетов было связано с проблемами снятия денег
В любом случае, большинство билетов, похоже, также игнорируются, как и многочисленные запросы нашего источника.
Просматривая sistemkoin.com, обнаружили несколько критических уязвимостей, где можно просматривать и комментировать заявки на поддержку любого пользователя биржи. Поскольку они не ответили, можно просмотреть несколько заявок в службе поддержки и обнаружить, что большинство заявок в службу поддержки касаются пользователей, которые жалуются, поскольку они не смогли снять токены.
В этом процессе пользователь Sistemkoin просто заменяет номер заявки на номер другой заявки в службу поддержки. Автору не хватает сетевого хакера, чтобы понять весь вовлеченный процесс, но источник позже раскрыл нам свой процесс в виде скриншотов:
При просмотре тикета поддержки злоумышленник перехватывает запрос к серверу и изменяет параметр идентификатора тикета поддержки на тикет поддержки жертв с помощью любого инструмента, такого как burp suite.
Атакующий может видеть тикеты поддержки других пользователей.
