LocalBitcoins 被黑事件,慢霧安全團隊向鏈聞提供了分析:目前已知 5 個用戶被盜(損失 7.95205862 BTC),盜幣攻擊行爲持續 37 分鐘,被攻擊的是 LocalBitcoins 的論壇(forums),目前已下線,但主頁還在持續提供服務。慢霧安全團隊通過對 LocalBitcoins 站點的安全架構分析,如果被黑事件是真的,初步懷疑是論壇出現 XSS 攻擊,被盜幣用戶的頁面觸發了惡意 JavaScript 代碼,由於論壇與主頁在同一個域下,只要這類攻擊觸發,是可以比較容易盜走 BTC 的。LocalBitcoins 的安全架構上犯了至少兩個錯誤:第一個是:論壇這種高交互性的頁面不應該和主頁在同一個域下,應該分離出子域名形式;另一個是:主頁相關重要功能模塊加載了幾個第三方 JavaScript 模塊,只要任意一個第三方被黑或作惡,LocalBitcoins 也能輕易被黑。