BTC.com手机客户端

Ripple和Stellar双重网关Justcoin突关闭,疑被盗5400万STR

Quickbits 发布在 竞争币 17 5833

10月8日,全球最大的恒星币交易所,同时也是Ripple和Stellar双重网关的Justcoin突然关闭,这引起了众多人士的猜测。小编就此事联系了国内的瑞狐网关站长,和大家一起看看发生了什么。下图为其官方推特截图,称因技术问题,暂时关闭,很快回来。

20141010030014517

10月10日,Justcoin重新开放,但恒星币(STR)及瑞波币(XRP)市场仍然关闭,也不能提现。

事件回放

疑似2起双重网关被入侵 同一机制被利用

1.Justcoin疑似被盗5400万个恒星币和3600万个瑞波币(后文有数据支持,可供验证)

10月8日下午1点56分,有5400万恒星币被从Justcoin提走。半小时后交易所宣布由于技术原因暂时关闭。(见图2)

2.国内的瑞狐网关今早也发生此类事件

次日,中国的瑞狐网关同样是Ripple和Stellar双重网关,被外国黑客用疑似相同手法攻击,但由于采取了校验金额,故未受任何损失。

20141010031612525

黑客手法猜想:利用“部分成交”特性骗取资产

瑞狐网关的梁站长分析,Justcoin交易所极有可能是被黑客利用“部分成交”特性骗取了这一部分资产。因为恒星网络和瑞波网关技术同源,所以极有可能损失的不仅是已知的5400多万恒星币。黑客完全可以用相同的手法骗取所有Justcoin交易所在瑞波网关和恒星网关发行的任何币种(恒星币,瑞波币,比特币)。

技术情节还原:黑客充值数量和实际发送不对等,网关未验证直接全额发送

黑客通过瑞波网络充值了一大笔恒星币,因为“部分成交”特性,网络服务器显示交易成功,并显示交易金额为5000万。但事实上黑客只发送了100个或更少。这时Justcoin的充值系统并未校验事实上的到账金额,而是直接往黑客的交易所账户充值了真正的5400万恒星币。于是黑客顺利的用提现功能提走了货真价实的5000万恒星币。

如何避免?几点温馨提示供参考

1.其他网关,注意校验金额

瑞狐站长提醒其他网关,在收到充值金额时,必须校验金额。在返回的服务器信息中,如果是部分成交,会有实际金额字段(meta.DeliveredAmount)出现。因为正常交易不出现这个字段,所以很多技术人员会忽略这一特性,这只能说是瑞波留下的一个大“坑”了。

2.个人用户,采用最新的钱包客户端

因为最新的钱包版本会显示实际收到的金额。而老钱包则不会显示。

3.谨慎选择可靠的网关和交易所

最近各种安全事件频频发生,希望大家在交易时选择技术可靠的网关和交易所。

以上猜想分析来源于瑞狐网关的梁站长,在此表示感谢!

数据支持:点此链接即可查看黑客记录,目前已提走3600万个瑞波币。

评论:17

您需要登录后才可以回复 登录|注册
    瑞波新闻
    瑞波新闻 791 天前

    回复@RobinKill: 很遗憾,RL自己的gatewayd项目也掉过这个坑,7月份的事情。http://t.cn/R7vunTO

    +1
    +1
    我要点评
    羽毛币李志
    羽毛币李志 791 天前

    //@瑞波新闻:kring: XRP生态好,销赃相对方便,换美元,换BTC均可。恒星很难弄,没地方卖啊。 //@kring:最新进展是被盗的瑞波还了两百万给just,三千万被转到一个新钱包去了,恒星钱包未动。 //@瑞波新闻:Bitstamp中招过,Justcoin也中招过。如果很多人都中招过,这个设计其实也是有问题的,或者

    +1
    +1
    我要点评
    RobinKill
    RobinKill 791 天前

    现在有人怀疑JustCoin自导自演…

    +1
    +1
    我要点评
    RobinKill
    RobinKill 791 天前

    只要看了,就不会,我咋随便看看都知道这东西不能这样用![兔子]

    +1
    +1
    我要点评
    瑞波新闻
    瑞波新闻 791 天前

    kring: XRP生态好,销赃相对方便,换美元,换BTC均可。恒星很难弄,没地方卖啊。 //@kring:最新进展是被盗的瑞波还了两百万给just,三千万被转到一个新钱包去了,恒星钱包未动。 //@瑞波新闻:Bitstamp中招过,Justcoin也中招过。如果很多人都中招过,这个设计其实也是有问题的,或者文档写得不够

    +1
    +1
    我要点评
    瑞波新闻
    瑞波新闻 791 天前

    回复@kring: XRP生态好,销赃相对方便,换美元,换BTC均可。恒星很难弄,没地方卖啊。

    +1
    +1
    我要点评
    kring
    kring 791 天前

    最新进展是被盗的瑞波还了两百万给just,三千万被转到一个新钱包去了,恒星钱包未动。

    +1
    +1
    我要点评
    kring
    kring 791 天前

    Ripplelab自己的gatewayd也中过招,知道Jed为什么不愿意跟这些臭棋篓子混了吧。

    +1
    +1
    我要点评
    瑞波新闻
    瑞波新闻 791 天前

    Bitstamp中招过,Justcoin也中招过。如果很多人都中招过,这个设计其实也是有问题的,或者文档写得不够好。事实上,Ripple的开发文档确实很乱。

    +1
    +1
    我要点评
    RobinKill
    RobinKill 791 天前

    回复@瑞波新闻:瑞波留下这个参数定然有其作用,不可能因为这个而赖到Ripple上,我很难理解建立一个经济系统,居然没先把API吃透开写了,同时如此大的资金账却没有风控拦截…这是赤裸裸的作死啊

    +1
    +1
    我要点评
    瑞波新闻
    瑞波新闻 791 天前

    回复@RobinKill:是的,这是Ripple中的一个大坑。那个真实发送的字段在正常情况下是没有的,技术人员极其容易忽略。所有开网关的人都要注意。

    +1
    +1
    我要点评
    RobinKill
    RobinKill 791 天前

    技术不过关就敢乱用~作死~那个那个字段本来就不是真实交易额,留下来有其它作用的~[挖鼻屎]

    +1
    +1
    我要点评
    瑞波币
    瑞波币 792 天前

    看描述应该是,发起一个充值到网关的充值地址,比如提交的100000,实际只转了100个 服务器也会返回成功,但会返回一个实际充值的金额 但网管没有校验这个金额,直接认为100000充值成功了 就导致问题出现了。提醒各大平台,对于大额充值提现网站一定要进行人工二次校验。

    +1
    +1
    我要点评
    比特禅师
    比特禅师 792 天前

    回复@瑞波币:比特时代出了新闻,说这是瑞波币技术上的一个大坑,连累了恒星币被盗(同一个作者)。去时代看新闻吧。http://t.cn/RhsBWNW

    +1
    +1
    我要点评
    瑞波币
    瑞波币 792 天前

    交易平台的黑天鹅事件一个接着一个,前有M网被盗,后有比特尔的丢币事件,现在又来个justcoin。虽然希望以后不要发生这样的事情,但这绝不是最后一次。希望交易平台加强安全性的同时用户也不要把鸡蛋放一个篮子里。

    +1
    +1
    我要点评
    瑞波新闻
    瑞波新闻 792 天前

    我的新闻稿,哈哈 全球最大的恒星币交易所Justcoin疑似被盗5400万个STR http://t.cn/RhsBWNW

    +1
    +1
    我要点评
    比特时代官网
    比特时代官网 792 天前

    《全球最大的恒星币交易所Justcoin疑似被盗5400万个STR》:疑似利用“部分成交”特性骗取资产,详情请参阅http://t.cn/RhsBWNW

    +1
    +1
    我要点评