Следуйте за нами

Последние новости

Больше новостей

Тревожная уязвимость Sistemkoin в Турецкой крипто-бирже выявила серьезные жалобы на вывод средств

Турецкий криптообмен Sistemkoin заработал $68 миллионов за 24-часовой период на момент написания статьи. Однако, согласно отчету пользователя и исследователя безопасности, с обменом возникают серьезные проблемы с безопасностью.

Есть два аспекта нашего анонимного сообщения. Во-первых, любой, у кого есть программа Burpsuite и учетная запись Sistemkoin для компрометации билетов поддержки других пользователей. Наш консультант потратил больше недели, пытаясь сообщить о проблеме, не получив ответа.

Читать также:   Биржи могут помочь удешевить биткоин транзакции


Уязвимость службы поддержки: серьезная проблема


Некоторые могут задаться вопросом, в чем проблема на самом деле, если другие могут увидеть ваш билет поддержки. Большое дело, верно? Хорошо, представьте, если кто-то, выдавая себя за службу поддержки, попросит вас отключить двухфакторную аутентификацию. Или раскрыть личную информацию, чтобы «подтвердить свою учетную запись». Существует множество возможных направлений атак, которые становятся возможными, когда они могут выдавать себя за сотрудников.

Другим аспектом уязвимости является то, что большинство билетов, которые наш источник видел, были связаны с проблемами с выводом средств. Это должно быть поводом для беспокойства по понятным причинам.

1) Основные правила безопасности не соблюдаются.

2) У пользователей действительно возникают проблемы с выводом средств.

Вывод средств является, пожалуй, самым важным аспектом крипто-обмена. Любой хорошо сделанный мошенник может обработать депозит. Только законные обмены могут надежно и последовательно обрабатывать снятие средств. Ежегодное мероприятие под названием «Proof of Keys» проверяет действительность бирж, создавая то, что составляет банк.

Читать также:   Серьезный аргумент. Критика фьючерсов на биткоин

Законные биржи, такие как Binance, в такие дни буквально не имеют проблем. Когда бизнес-модель разумна и программное обеспечение написано правильно, единственным потенциальным эффектом является временное падение объема торговли.

Сегодня СистемKоин пишет в Твиттере:

Большинство билетов было связано с проблемами снятия денег


В любом случае, большинство билетов, похоже, также игнорируются, как и многочисленные запросы нашего источника.

Просматривая sistemkoin.com,  обнаружили несколько критических уязвимостей, где можно просматривать и комментировать заявки на поддержку любого пользователя биржи. Поскольку они не ответили, можно просмотреть несколько заявок в службе поддержки и обнаружить, что большинство заявок в службу поддержки касаются пользователей, которые жалуются, поскольку они не смогли снять токены.

Читать также:   Банковские сбои показывают уязвимости системы, которые пользователи Биткоин избегают


В этом процессе пользователь Sistemkoin просто заменяет номер заявки на номер другой заявки в службу поддержки. Автору не хватает сетевого хакера, чтобы понять весь вовлеченный процесс, но источник позже раскрыл нам свой процесс в виде скриншотов:

При просмотре тикета поддержки злоумышленник перехватывает запрос к серверу и изменяет параметр идентификатора тикета поддержки на тикет поддержки жертв с помощью любого инструмента, такого как burp suite.

Атакующий может видеть тикеты поддержки других пользователей.

Не забудьте оставить свой комментарий!

Войти
Отправить
wpDiscuz

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: