1. 首页
  2. 头条资讯

美股、纳斯达克支持的交易所Dx. Exchange,上线后遭爆「重大安全漏洞」

使用纳斯达克的搓合引擎来进行代币交易所Dx.Exchange1月7日启动测试。除了搓合引擎之外,该平台还使用纳斯达克的金融信息交换(FIX)协议,该协议是美国许多期权证券交易公司使用的标准,协议中定义了进行证券交易的双方的电子消息交换的相关规范。该交易所在推出前,它在金融新闻领域就受到了大肆宣传和曝光。

该交易所在1月7日进行了一次启动试验,并已为加密货币和美国股票之间,以持有代币作为投资股份的形式建立了一个桥梁,并向市场销售。也就是说,用户可以透过加密货币购买代表美股的持份,透过持有代币已领取股票(如:Apple)的股息。除了已加密货币投资Apple、Facebook和Nvidia等股票的数字化代币,也可以在该平台上交易一些主流的加密货币。

美股、纳斯达克支持的交易所Dx. Exchange,上线后遭爆「重大安全漏洞」

虽然该交易所在多数新闻媒体报导后,获得大量的支持声浪。但由于有报导称Dx.Exchange存在一些重大安全问题,原本饱受期待的交易所已经让多数人关注他的风险与担忧。日前,一位交易员检验了平台的安全性,遇到了许多安全问题,并表示这间交易所很可能轻易的被罪犯用来作恶。

由于牵涉到法律相关的问题,该交易员没有揭露他的身份,不过他对这间新推出的Dx.Exchnage平台进行了一些检查,发现该网站洩漏了一些敏感的法律和财务数据。

他向媒体《Ars Technica》提供了这个消息,他创建了一个假账户来测试平台的稳定性及其安全性。在打开Google Chrome浏览器中的开发者工具进一步探索之后不久,他发现了一些令人震惊的细节:交易者发现他从浏览器发送到Dx.Exchange的请求,包括有关用户的个人详细资讯。

据称,这位匿名人士表示浏览器上发送的资讯还包含了密码重置的连结、以及其他用户的代币交易资讯。该代币使用称为JSON Web的通证开放标淮进行格式化,这让那些「具备足够知识」的人,可以轻鬆获取用户的电子邮件地址和代币所有者全名。

「我在30分钟内收集了大约100个用户通证。如果检察官想将此行为定为刑事犯罪是完全合理的。」
如果用户尚未登出,交易者基本上可以访问任何受影响的帐户,并从这些通证中得到平台所洩露用户资讯。经过进一步研究后,这名交易员即使在登出后也可以保持对帐户的访问权限。

虽然这个发现已经足够严重,但这名匿名人士在Dx.Exchange平台上发现了更多的安全问题。这样的资料洩漏危及整个系统,因为甚至是属于公司员工的通证数据也是可访问的。

如果黑客能够进入员工的管理帐户,这会发生灾难性的危机。这位匿名人士说道:

「我们可以从帐户资料的电子邮件地址看到它是来自@coins.exchange。我非常有信心,我可以在一天内完成这项任务并获得一个管理的通证,并拥有一切掌控权。」

在这名交易员向Dx.Exchange通报了这些问题,Dx.Exchange表示将在在24小时内安排维护更新来「执行多个错误修复和更新」。

「我们在收到来自Ars Technical 的专业反馈后,平台的漏洞立即被识别并控制。 DX目前处于「软启动(Soft Launch)阶段,我们得到了全世界新闻媒体的一些意想不到的大量关注。 由于大家对平台的高度兴趣和大量注册,我们发现了一些错误。 我们有信心能够解决所有问题,并在最短的时间内完成我们的发布。」该交易所Dx.Exchange表示道。

「 我们计划在上午11点(爱沙尼亚时区)进行维护更新,以提高我们的平台功能并执行几个错误修正和更新。平台将在几分钟后恢复正常功能。感谢您的耐心等待。」

文章编辑:丘比君,如若转载,请注明出处:https://www.qqbite.com/bitcoin/7433.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注