主要的加密貨幣交易所火幣已經默默地解決了一個巨大的漏洞,據稱該漏洞暴露了用戶資產兩年。
根據白帽駭客和研究員亞倫·菲力浦斯(Aaron Phillips)的說法,火幣在 2021 年 6 月意外發佈了一份包含亞馬遜網路服務 (AWS) 憑證的檔,該文件洩露了 4,960 條「加密鯨魚」和內部文件的聯繫方式和賬戶資訊。
菲力浦斯在他的博客中寫道,如果數據洩露被攻擊者利用,很容易成為“歷史上最大的加密盜竊”。
“任何人都可以使用這些憑據來修改 huobi.com 域和 hbfile.net 域等內容,”菲力浦斯補充道。“我完全控制了火幣業務幾乎各個方面的數據。”
菲力浦斯於 2022 年 6 月首次向火幣通報了洩漏情況,在火幣於 2023 年 6 月撤銷其憑據之前,花了五個月的時間才收到交易所的回應以對洩漏採取行動。
違規行為最「危險」的方面涉及對火幣內容交付網路(CDN)和網站的寫入許可權的訪問。
“一旦攻擊者可以寫入CDN,找到注入惡意腳本的機會就變得微不足道了。一旦CDN遭到入侵,所有連結到它的網站也可能受到損害。
火幣最終刪除了受感染的帳戶,從而在 6 月 20 日保護了其冷存儲。
菲力浦斯還聲稱,火幣的洩密暴露了自2017年以來的場外交易(OTC)資料庫。該資料庫在一個2TB的可下載檔中包含用戶帳戶,交易詳細資訊和交易者IP位址的詳細資訊。
此外,該漏洞揭示了火幣生產基礎設施的內部運作,並允許更改該公司 NFT 專案 – Utopo 的 JSON 檔。
火幣堅持認為違規行為“並沒有那麼糟糕”
火幣在6月1日的回應中表示,菲力浦斯提到的OTC數據洩露“不是真實的,而是測試數據”。洩漏僅涉及4000個用戶的用戶資訊。
根據火幣對此事件的回應,數據洩露的發生是「由於火幣日本AWS網站測試環境中與S3存儲桶相關的人員操作不當。相關用戶資訊於2022年10月8日被完全隔離。
該交易所還否認洩漏不涉及敏感資訊,也不會影響使用者帳戶和資金安全。
火幣沒有立即回復置評請求。