LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 全球最大的恒星币交易所Justcoin疑似被盗5400万个STR

全球最大的恒星币交易所Justcoin疑似被盗5400万个STR

2014-10-10 比特时代 来源:比特时代
\

  10月8日,全球最大的恒星币交易所,同时也是Ripple和Stellar双重网关的Justcoin突然关闭,这引起了众多人士的猜测。小编就此事联系了国内的瑞狐网关站长,和大家一起看看发生了什么。下图为其官方推特截图,称因技术问题,暂时关闭,很快回来。

\

  10月10日,Justcoin重新开放,但恒星币(STR)及瑞波币(XRP)市场仍然关闭,也不能提现。

  事件回放:

  疑似2起双重网关被入侵 同一漏洞被利用

  1.Justcoin疑似被盗5400万个恒星币和3600万个瑞波币(后文有数据支持,可供验证)

  10月8日下午1点56分,有5400万恒星币被从Justcoin提走。半小时后交易所宣布由于技术原因暂时关闭。(见图2)

  2.国内的瑞狐网关今早也发生此类事件

  次日,中国的瑞狐网关(https://ripplefox.com),同样是Ripple和Stellar双重网关,被外国黑客用疑似相同手法攻击,但由于采取了校验金额,故未受任何损失。

  黑客手法猜想:利用“部分成交”特性骗取资产

  瑞狐网关的梁站长分析,Justcoin交易所极有可能是被黑客利用“部分成交”特性骗取了这一部分资产。因为恒星网络和瑞波网关技术同源,所以极有可能损失的不仅是已知的5400多万恒星币。黑客完全可以用相同的手法骗取所有Justcoin交易所在瑞波网关和恒星网关发行的任何币种(恒星币,瑞波币,比特币)。

  技术情节还原:黑客充值数量和实际发送不对等,网关未验证直接全额发送

  黑客通过瑞波网络充值了一大笔恒星币,因为“部分成交”特性,网络服务器显示交易成功,并显示交易金额为5000万。但事实上黑客只发送了100个或更少。这时Justcoin的充值系统并未校验事实上的到账金额,而是直接往黑客的交易所账户充值了真正的5400万恒星币。于是黑客顺利的用提现功能提走了货真价实的5000万恒星币。

  如何避免?几点温馨提示供参考

  1.其他网关,注意校验金额

  瑞狐站长提醒其他网关,在收到充值金额时,必须校验金额。在返回的服务器信息中,如果是部分成交,会有实际金额字段(meta.DeliveredAmount)出现。因为正常交易不出现这个字段,所以很多技术人员会忽略这一特性,这只能说是瑞波留下的一个大“坑”了。

  2.个人用户,采用最新的钱包客户端

  因为最新的钱包版本会显示实际收到的金额。而老钱包则不会显示。

  3.谨慎选择可靠的网关和交易所

  最近各种安全事件频频发生,希望大家在交易时选择技术可靠的网关和交易所。

  时代小编也采访了我们的技术人员。

  时代技术人员表示: 该漏洞被曝光后,时代已内部对XRP和STR可能存在的诈骗充提做了检查,目前时代的校验机制下,不会存在类似的漏洞,该人员还表示,时代一向特别重视资金安全,尽力保证用户资金安全,由于平台技术问题导致的虚拟币丢失,时代也会负责,请用户放心。

  以上猜想分析来源于瑞狐网关的梁站长,在此表示感谢!

  数据支持:点此链接即可查看黑客记录,目前已提走3600万个瑞波币。

  更多信息可参见论坛:https://stellartalk.org/

  http://rippleinfo.sinaapp.com/#rDuV4ndTFUn5NjLJSTNfEFMTxqQVeafvxC

\

—-

文章来源:http://www.btc38.com/altcoin/str/4319.html

编译者/作者:比特时代

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...