区块链安全公司 SlowMist 揭示了中心化交易所的某些安全漏洞以及黑客如何利用它们进行虚假存款攻击。
虽然区块链技术还处于早期阶段,但黑客正在开发复杂的技术来窃取项目和用户的资金。
交易所如何将资金存入用户钱包
当向集中式加密货币交易所存款时,在将金额存入用户地址之前需要执行多个步骤。下面的信息图显示了这些步骤,从请求存款到为用户生成唯一的钱包开始。
慢雾的信息图显示了中心化交易所存款过程中的步骤。
然而,黑客通过发送被交易所识别为真实存款的伪造交易来欺骗这一过程。慢雾分享了一个“TON Bounce-back False Top-up”的例子。
TON 虚假存款攻击案例分析
黑客利用交易中的漏洞来存入 Toncoin ( TON ),这是消息平台 Telegram 的一个项目。
下面的屏幕截图显示了使用RPC接口的事务。一般来说,中心化交易所会验证“in_msg”属性的“destination”中是否提及了用户的充值地址。
查看我们关于 9 个加密钱包安全提示的文章,以保护您的资产
然而,如果交易所没有注意到“out_msgs”属性,他们可能会在没有收到存款的情况下将资金存入用户的账户。通俗地说,“out_msg”属性会将资金退还到其原始帐户。
虚假存款攻击恶意交易截图。来源: 慢雾
慢雾还分享了避免虚假存款攻击的最佳实践:
- 多重确认机制,避免陷入虚假充值攻击陷阱
- 严格的交易匹配,确保交易符合正常交易模式
- 可以检测恶意交易的风险控制系统。
- 人工审核较大存款并降低系统可靠性。
- 增强 API 安全性以阻止不良行为者访问系统
- 用户钱包收到存款后的临时提款限制。
- 定期进行安全更新以修复漏洞(如果有)。
关于虚假存款攻击或其他什么有话要说吗?写信给我们或加入我们的Telegram 频道的讨论。您还可以在TikTok 、 Facebook或X (Twitter) 上关注我们。
声明:该文观点仅代表作者本人,与炒币网无关。炒币网系信息发布平台,仅提供信息存储空间服务。对所包含内容的准确性、可靠性或者完整性不提供任何明示或暗示的保证,并不对文章观点负责。
提示:投资有风险,入市须谨慎。本资讯仅供参阅,不作为投资理财建议。