随着近几年数字货币的火热,2017年国内披露的大规模挖矿木马攻击事件数量呈现了爆发式增长,2018年刚刚过半,大型挖矿木马攻击事件已经发生数十起。
近日,“漏洞即挖矿”平台DVP收到“白帽子”提交的多个交易所相关漏洞,经安全人员进一步研究发现,这是一种存在于多个交易所的通用型漏洞,一旦被恶意攻击,可导致受影响交易所的信息数据全部泄露,将严重威胁到交易所正常运转和用户资产安全。分析发现,这是由于诸多中小型交易直接购买通用交易所程序修改并运营造成的,这种模式虽然构建速度快,一旦出现问题,相关交易所均会受到影响。据统计,此次受影响的交易所范围多达600余家。
所有的交易所被动的成为一个整体,牵一发而动全身,因程序类似,只要有“白帽子”在一所交易所里发现漏洞,其他交易所也无法避免,若今日不是“白帽子”发现漏洞,那这些交易所不是理所应当会沦为“灰帽子”“黑帽子”的盘中餐?与传统金融相比,区块链金融在很多国家是不受法律保护的,只能由区块链相关企业进行自我防御,在这种法律空白的情况下,资金盘越大,就越容易遭受黑客攻击,目前这种过渡阶段对于黑客来说,是一个可以将入侵肆意变现的时代。这种情况通俗点来讲,就是满大街的人都将钱包挂在脖子上,小偷身上一没钱就出门“寻觅猎物”,同样的招数屡试不爽,因为街上也没有警察。
交易所现在已经陷入双面夹击的困境,“低配版”的程序、无人监管的交易所环境,此时的繁荣如海市蜃楼。DVP表示,漏洞具体集中在设计缺陷、访问控制缺陷、身份凭证窃取、跨站请求伪造、敏感信息泄露等方面,也呼吁了相关厂商联系DVP平台认领漏洞,并及时做修复处理,但这依然还是治根不治本的举措,交易所的组织架构仍需完善,应对交易所各种各样的乱象,要尽快的实现自治,交易所治理一定程度上能够制约交易所的行为规则,除了缓解内部的程序升级问题,也能够抑制交易所操纵价格,现如今,各大交易所在假象中混得“风生水起”,内部残破不堪却毫无改变,老交易所的行为会直接影响新交易所,一个有序的市场环境是需要所有交易所共同维护的,惊奇的是,最近很多崛起的新交易所却没有犯老交易所会犯的毛病,如爱沙尼亚的彩虹交易所,这也说明,我们所期待的交易所的明天应该不会太遥远。