LocalBitcoins 被黑事件,慢霧安全團隊向鏈聞提供了分析:目前已知 5 個用戶被盜(損失 7.95205862 BTC),盜幣攻擊行爲持續 37 分鐘,被攻擊的是 LocalBitcoins 的論壇(forums),目前已下線,但主頁還在持續提供服務。慢霧安全團隊通過對 LocalBitcoins 站點的安全架構分析,如果被黑事件是真的,初步懷疑是論壇出現 XSS 攻擊,被盜幣用戶的頁面觸發了惡意 JavaScript 代碼,由於論壇與主頁在同一個域下,只要這類攻擊觸發,是可以比較容易盜走 BTC 的。LocalBitcoins 的安全架構上犯了至少兩個錯誤:第一個是:論壇這種高交互性的頁面不應該和主頁在同一個域下,應該分離出子域名形式;另一個是:主頁相關重要功能模塊加載了幾個第三方 JavaScript 模塊,只要任意一個第三方被黑或作惡,LocalBitcoins 也能輕易被黑。
Bitcoin
-69.55
(-0.11%)
Ethereum
-16.36
(-0.53%)
Litecoin
+1.32
(+1.63%)
DigitalCash
-0.11
(-0.38%)
Monero
-2.44
(-1.85%)
Nxt
0
(+6.19%)
Ethereum Classic
+0.44
(+1.6%)
Dogecoin
-0
(-2.25%)
ZCash
-0.12
(-0.54%)
Bitshares
-0
(-1.51%)