LocalBitcoins 被黑事件,慢霧安全團隊向鏈聞提供了分析:目前已知 5 個用戶被盜(損失 7.95205862 BTC),盜幣攻擊行爲持續 37 分鐘,被攻擊的是 LocalBitcoins 的論壇(forums),目前已下線,但主頁還在持續提供服務。慢霧安全團隊通過對 LocalBitcoins 站點的安全架構分析,如果被黑事件是真的,初步懷疑是論壇出現 XSS 攻擊,被盜幣用戶的頁面觸發了惡意 JavaScript 代碼,由於論壇與主頁在同一個域下,只要這類攻擊觸發,是可以比較容易盜走 BTC 的。LocalBitcoins 的安全架構上犯了至少兩個錯誤:第一個是:論壇這種高交互性的頁面不應該和主頁在同一個域下,應該分離出子域名形式;另一個是:主頁相關重要功能模塊加載了幾個第三方 JavaScript 模塊,只要任意一個第三方被黑或作惡,LocalBitcoins 也能輕易被黑。
Bitcoin
$64,526.16
+252.33
(+0.39%)
Ethereum
$3,157.50
+4.25
(+0.13%)
Litecoin
$84.74
+1.34
(+1.61%)
DigitalCash
$30.59
+0.45
(+1.51%)
Monero
$120.22
+1.72
(+1.45%)
Nxt
$0.00
0
(+0.02%)
Ethereum Classic
$26.52
+0.27
(+1.01%)
Dogecoin
$0.15
-0
(-0.39%)
ZCash
$23.34
+0.52
(+2.28%)
Bitshares
$0.00
-0
(-1.83%)