Dilation Effect 研究:各大交易所账號密碼泄露數據一覽,應如何防範
本文由DilationEffect和吳說區塊鏈聯合發布。
分析交易所的安全防護水平並不容易,因為很難了解到交易所內部的具體安全投入情況。Dilation Effect 前期選取了智能合約授權這一獨特維度對行業 TOP 交易所和機構的主要錢包地址做過分析,及時披露了發現的問題。這次我們嘗試站在攻擊者和用戶的角度,來分析這些主流交易所的账戶安全機制,因為這直接影響到具體用戶的資金安全。
一、主流交易所账戶密碼泄露情況
嘗試通過公开的數據泄露匯集搜索網站(數據來源包括暗網、文件共享平臺、歷史上泄露的账戶數據集等)來對主流交易所的相關域名進行篩選,你要知道,攻擊者也會做同樣的動作。
首先搜索 Binance.com,發現返回了 8000余條账戶和密碼的明文數據!我們摘取部分片段作為示例:
從這些數據中隨機挑選一些進行登錄嘗試,發現不少的账戶和密碼是完全正確的,嘗試登錄後居然可以直接進入到下一步的二次驗證階段,比如這個 mar***@gmail.com 账戶:
這時如果此用戶郵箱的账號和密碼也跟交易所的登錄郵箱账號/登錄密碼相同,那攻擊者就可以直接獲取二次驗證的郵箱驗證碼,從而登錄用戶的 Binance 账戶。是不是相當炸裂?當然值得特別強調的是,我們的驗證嘗試到此為止,並沒有做後續的動作。
Dilation Effect 初步統計了十余家主流交易所的账戶密碼泄露情況,每一家都有數千條的泄露記錄。具體數量級別如下表格所示:
多少有點觸目驚心的感覺。
由於時間有限,Dilation Effect 並沒有一條條去檢查這些账戶密碼的准確性,但通過對數據做隨機挑選,我們發現每個交易所泄露的账戶密碼裏都存在正確的账戶和密碼,初步估計平均的正確比例在 10%~20%左右。
账戶和密碼泄露並不會直接導致用戶資金受損,因為交易所都提供了額外的 2FA 機制。但如果用戶自己沒有做好完善的設置,依然會存在資金被盜風險,比如用戶只啓用了郵箱驗證碼做驗證,又或者用戶的其它認證因素被攻擊。
那接下來我們繼續分析目前主流 2FA 二次驗證機制的安全強度。
二、常見二次驗證機制的安全性對比
首先給出各種二次驗證因素的安全等級對比結論:
Dilation Effect 認為普通的用戶郵箱是一種安全性比較脆弱的產品,郵箱驗證碼不是穩定的安全校驗因素。時至今日,如果用戶還僅僅設置郵箱驗證碼作為 2FA,那么可以認為這個账戶的安全性為零。應該要認識到,歷史上各大互聯網服務廠商被攻擊導致大批量的用戶名/密碼泄露,同時郵箱服務商也存在潛在的未知漏洞,這都導致大量用戶的郵箱處於不安全狀態。綜合來看,郵箱驗證碼的安全性是很低的。
短信驗證碼同樣面臨很多的攻擊場景。比如定向攻擊場景裏的僞基站攻擊,如果某個高價值用戶被盯上,攻擊者可以在此用戶附近部署僞基站來劫持其短信。再比如現在風頭正勁的 Lapsus$黑客組織喜歡實施的 SIM Swapping 攻擊。SIM Swapping 攻擊簡單來說就是通過社會工程學方式冒充用戶將 SIM 卡轉移到攻擊者名下。尤其是隨着 eSIM 的出現,攻擊者可以在线完成申辦和开通,讓攻擊變得更加容易。Twitter 創始人 Jack Dorsey 的 twitter 账號曾經就被這種方式攻擊過。另外就是運營商合法監聽的問題,這種場景就不展开講了,懂得都懂。所以短信驗證碼的安全等級也是比較低的。
TOTP 和 Security Key 面臨的威脅則會少很多。 Dilation Effect 建議廣大用戶至少能將 Google Authenticator 作為必須开啓的基本安全設置,對安全等級要求更高的用戶可以設置物理 Ukey。如果僅僅設置了郵箱驗證碼或者短信驗證碼,那你的账戶被攻擊是早晚的事了。
另外,現在一些交易所已經开始支持通行密鑰,這是一種用戶替代傳統密碼的強安全機制,建議用戶能逐步熟悉使用。
三、給交易所的建議
交易所要馬上啓動應急響應流程,對用戶账戶密碼的泄露情況展开排查,引導受影響用戶更改密碼、完善账戶安全設置。同時日常要主動監控用戶的账戶密碼泄露情況。如果不知道如何查找自己用戶的密碼泄露數據,可以聯系 Dilation Effect 交流([email protected])。
我們建議交易所能採取 Secure by default 的設計思路,為用戶的账戶安全多考慮一些,讓用戶完成安全設置後账戶就能處於相對安全的狀態。一些可以參考的設計原則是,用戶必須完成 Google Authenticator 的綁定才算滿足了安全基准,那么在用戶注冊時盡最大可能來引導用戶完成設置,同時完成了設置後才能進行包括提幣在內的敏感操作。
四、給普通用戶的建議
對網絡安全抱有敬畏心理。攻擊者是勤奮的,而廣大用戶對網絡安全的理解是相對匱乏的。包括V神前些天的推特账號不就被 hacked 了么。用戶不能因為圖一時提幣方便,就忽視了自己的账戶安全設置,在被攻擊之後往往又追悔莫及。所以,給自己的账戶至少綁定上 Google Authenticator 吧。
關於 Dilation Effect
Dilation Effect(膨脹效應)是一個新近成立的 Web3 安全社區,由來自全球的網絡安全實战派專家組成,專注於分享客觀中立的 Web3 安全觀點。
-
Dilation Effect 是業界第一個提出 iPhone 手機使用共享 Apple ID 下載錢包應用存在資產被盜風險的團隊,也曾獨家分析披露:
-
Binance、KuCoin、Jump 等 Top 機構的主要錢包地址的智能合約授權風險
-
Jump 投資的 Defi 跨鏈借貸協議 Prime Protocol 存在的安全風險
-
採用 GMX 的 GLP 及相關代幣(mGLP等) 作為抵押資產給借貸協議帶來的風險
-
業界最流行的聚合跨鏈橋協議 Bungee 所存在的中心化安全風險
Dilation Effect 會持續發布各種 Web3 安全觀點,點評業界 Web3 產品和協議的安全性,給普通用戶發布及時有效的安全提醒。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
動區週報》比特幣上漲乏力、聯準會1月不降息機率高、微策略擬增發股票加倉BTC..
本週(12/22-12/28)重要大事速覽 比特幣動態 :Bitwise 示警 BTC 恐迎「 痛...
Roam上线Discovery Ecosystem合作平臺,首批官宣20個項目,共同推動Web3應用大規模落地
12 月 25 日,DePIN 項目 Roam 正式上线了 Roam Discovery Ecos...
雙節期間市場疲軟,明年Q1或迎來上漲行情 | Frontier Lab 加密市場周報
市場概覽 市場整體概況: 本周加密市場在聖誕節假期影響下呈現下跌趨勢,市場情緒指數雖從 7% 微升...
獨家專訪》幣安區域市場總負責人Vishal Sacheendran:幣安不會成為銀行、臺灣監管有好的開始
全 球最大加密貨幣交易所 幣安 全球區域市場總負責人 Vishal Sacheendran 於臺北...
吳說Real
文章數量
102粉絲數
0