超100家交易所高危漏洞导致50亿价值数字资产受威胁

最新推荐文章于 2023-03-04 09:23:22 发布
最新推荐文章于 2023-03-04 09:23:22 发布
阅读量239 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoi123/article/details/81564459
版权

作者:阿甫哥哥

原文来自:超100家交易所高危漏洞导致50亿价值数字资产受威胁

近日,Punisher安全团队联合HELM区块链安全实验室根据蜜罐捕捉到了一枚交易所的0day。据分析,此0day是由于某开发方代码于地下黑市源码泄露而导致的一些漏洞被发掘

Punisher安全团队捕捉到的是一枚逻辑漏洞,黑客可以通过漏洞修改交易所任意账户的密码,并绕过Google安全验证码和短信验证码。据了解,还有一枚可以直接获取webshell权限的漏洞仍在地下黑市流传

据了解,使用此代码的交易所超过100家,目前存在漏洞的超过20家(此处为了保护交易所安全不公布受影响范围)。Punisher安全团队深入调查,发现在半年前有更多使用此源码的交易所,有一部分在黑客的摧残下倒闭。 
Punisher安全团队对其交易量进行统计,预计交易额达到50多亿(以其官网的数据为参考),已确认统计有44亿。
为了保证更多交易所的资金安全,督促其及时及修复漏洞,Punisher安全团队对此漏洞以及黑客的攻击手法进行分析披露,并提供修复方式,希望各大交易所防患于未然。
此漏洞存在于找回密码处,此套源码的整站验证逻辑均存在问题。


黑客只需注册自己的账户,当接收到的邮件时,黑客可以更换成要改用户的邮箱进行密码重置。同样的,利用手机验证码找回也是如此。

最低0.47元/天 解锁文章
张悠悠66
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
股票市场可视化-研究论文
05-20
我们为前端GUI提供完整的源代码,为股市可视化工具提供其后端对应的完整源代码。 它是基于我们讨论的“功能可视化”概念构建的,因此,功能性不因花哨的图形而牺牲。 GUI除其他外,基于每只股票与同等股票相比的交易“不正常”状态显示彩色编码的信号(由后端代码计算),以及信号中最明显的变化(“动量”)。 GUI还允许通过各种参数(例如,行业,交易所,信号,流动性,市值)有效地过滤/分类股票,并在功能上进行显示。 该工具可以作为基于Web的应用程序或本地应用程序运行。
区块链 serum源代码分析之二 solana订单簿交易所serum-dex
weixin_42285518的博客
11-18 2470
最新架构更新查看:xiaoyu1998 (XiaoYu) · GitHub
交易所源码分享,原生安卓+ios,有安装教程!
02-08
项目所需软件 (推荐使用宝塔安装) Nginx、php、mysql、redis、supervisor 进行部署项目 以下安装步骤仅以宝塔环境进行安装说明 安装上面所说Nginx(1.18)、php(7.4)、mysql(5.7.31)、redis(6.0.5)、supervisor(2.2), 其中php需安装以下扩展 fileinfo redis imagemagick Swoole4 且去除禁用函数 exec putenv proc_open symlink pcntl_signal pcntl_alarm 将项目上传到服务器上,导入数据库 编辑各目录下的.env文件配置数据库与redis和其他配置项 仅限用于学习和研究目的,不得将上述内容资源用于商业或者非法用途,否则,一切后果请用户自负。
交易猫源码完整搭建教程
m0_72905278的博客
10-20 1571
源码仅供学习参考。 教程:修改数据库账号密码 源码下载:https://pan.baidu.com/s/16lN3gvRIZm7pqhvVMYYecQ?pwd=6zw3
期货撮合的简单介绍
v527209157的博客
02-05 291
期货交易有两种喊价方式,分别是集合竞价和连续竞价,其中集合竞价采用最大成交量原则在期货开盘前的五分钟进行,最终产生当日开盘价,这段时间我们成为集合竞价时间。开盘后则开始采用连续竞价方式。所谓的“连续”就是说指竞价和成交的过程是不间断进行的,在交易时间内,买卖双方各自提出买入和卖出申报,之后开始进入撮合交易阶段,由计算机交易系统将买卖申报单以价格优先、时间优先的原则进行排序并自动撮合成交。这就是撮合交易,一般情况下遵循价格优先、时间优先原则,当涨跌停板时,遵循平仓优先、时间优先原则。
《2024攻防演练必修高危漏洞集合》
06-19
### 2024攻防演练必修高危漏洞集合 #### 一、前言 随着信息技术的快速发展,网络安全已成为企业不可忽视的关键领域之一。近年来,攻防演练(HW)作为检验网络安全防护能力的重要手段,得到了广泛的应用和发展。在...
2024攻防演练利器之必修高危漏洞合集
05-26
随着网络安全的发展和攻防演练工作的推进,红蓝双方的技术水平皆在实践中得到了很大的提升,但是数字化快速发展也导致了企业的影子资产增多,企业很多老旧系统依旧存在历史漏洞,与此同时,在攻防演练期间,往往会...
2024HW必修高危漏洞集合-v4.0
最新发布
07-08
### 2024HW必修高危漏洞集合-v4.0 #### 一、前言 ...综上所述,《2024HW必修高危漏洞集合-v4.0》是企业在准备HW攻防演练时不可或缺的参考资料,有助于提前识别和消除潜在的安全威胁,提高网络安全防护水平。
安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip
12-07
"安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件,旨在增强系统的防护能力,抵御潜在的高危漏洞攻击。 首先,我们要理解什么是高危漏洞。在计算机系统中,漏洞...
2024HW必修高危漏洞集合-v3.0
07-08
在众多威胁中,高危风险漏洞成为了企业面临的重大挑战之一。这类漏洞往往成为黑客攻击的重要切入点,尤其是在网络安全攻防演练(简称HW)期间。每年HW期间都会暴露出大量的高危风险漏洞,这些漏洞被红队利用,成为...
全球多金融机构软件供应商源代码泄露
互联网安全研究院
12-07 744
近日,为多跨国银行及证券交易所提供软件的开发商CMA的软件源代码被公开发布在网上。 CMA客户包括摩洛哥、毛里求斯、阿曼、塞尔维亚、利比亚以及柬埔寨等国的中央银行。该公司同时也在为甲骨文、赛门铁克以及花旗银行等知名厂商提供服务。 调查发现,此次数据泄露事件的幕后主使曾今年7月公开过数十企业源代码,其中包括微软、Adobe、联想、AMD、高通、摩托罗拉、联发科、GE Appliances、任天堂、Roblox以及迪士尼等等。 威胁情报分析师Bank_Security发布推文称:“国中央银行
搭建去中心化交易所——分享一个简单的DEX项目代码及文档
weixin_43886457的博客
02-01 2992
搭建去中心化交易所——分享一个简单的DEX项目代码及文档
数字货币综合虚拟货币交易平台源码(基于thinkphp框架)中英文切换适合学习研究 二开
weixin_45892228的博客
03-04 3647
数字货币合约交易源码,综合虚拟货币交易平台源码(基于thinkphp框架)中英文切换支pc+h5 持委托交易,买卖交易市场等等功能 这个框架适合二开 好多比较好一点的交易所都是基于这个二开的。功能不是很多 适合学习研究 二开。
开源交易所源码搜集
weixin_30825581的博客
08-12 2875
开源交易所源码 https://www.v2ex.com/t/401795 https://github.com/peatio/peatio https://github.com/viabtc/viabtc_exchange_server BlinkTrade WLOX Peatio MarginCall BlinkTrade Website: https://blinktrade.co...
2022大宗商品现货交易所织梦网站模板源码+大气美观
wfeergr的博客
06-10 780
原创设计、手工书写DIV+CSS, 完美兼容IE7+、Firefox、Chrome、360浏览器等;主流浏览器; 页面简洁简单,容易管理,DEDE内核都可以使用;附带测试数据。完整演示图放到压缩包里面了。wwegfu.lanzoul.com/inO9Z064826h...
上期所API头文件一、ThostFtdcUserApiStruct.h---API结构体的定义及工作流程(源代码6.3.19版)
随风的博客
10-29 1344
///////////////////////////////////////////////////////////////////////// ///@system 新一代交易所系统 ///@company 上海期货信息技术有限公司 ///@file ThostFtdcUserApiStruct.h ///@brief 定义了客户端接口使用的业务数据结构 ///@history ///20060106 赵鸿昊 创建该文件 ///////////////////////////////////////
eos 创建两对的公钥和私钥, 钱包,交易所转账到主网,主网到交易所
weixin_30505225的博客
10-20 403
在ubuntu18.04上安装EOS的目的: 在ubuntu中,进行eos源码编译和安装 在不联网的安全环境下,用eos官方的命令行工具,创建自己的公钥和私钥 用eos官方的命令行工具,创建钱包,执行转账 一,用eos官方的命令行工具cleos,创建两对的公钥和私钥 注意:做下面的操作时,请拔掉网线,或者断开无线,让机器处于非联网的状态。 创建第一对: cleos create key...
compile viabtc_exchange_server on Ubuntu 16.04
jambeau的博客
05-03 3140
引用 viabtc_exchange_server,是交易所源代码。我们现在就编译一下这款产品。 $ sudo apt install -y libev-dev libjansson-dev libmpdec-dev libmysqlclient-dev libcurl4-gnutls-dev libldap2-dev libgss-dev librtmp-dev libsasl2-dev ...
大数据搜索引擎之elasticsearch使用篇(一)
热门推荐
xiaoi123的博客
07-04 1万+
作者:yanzm原文来自:https://bbs.ichunqiu.com/thread-42421-1-1.html1.基础介绍本期,我们将着重介绍elasticsearch的基本使用方法。2.名词解释在介绍elasticsearch的基本使用方法之前,我们先来了解一下在elasticsearch中常用名词的含义。索引(Index):一个索引就是含有某些相似特性的文档的集合。例如,你可以有一个用...
4001002003.com源码泄露:高危SVN漏洞威胁网站安全
漏洞报告指出,www.4001002003.com网站存在一个高危级别的源码泄露漏洞漏洞源于SVN(Subversion)版本控制系统中的不当操作,即某些管理员在将代码部署到Web服务器时,没有正确处理隐藏的.svn文件夹,导致该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值