根据科技新闻网《Ars Technica》1 月 9 日报导,一位匿名交易员对证券型代币交易平台 DX.Exchange 进行分析后,发现该平台存在重大安全漏洞,允许第三方轻易捕获用户的敏感数据。
DX.Exchange 首席首席执行官 Daniel Skowronski 1 月 10 日发布声明表示,该漏洞已经成功修复,用户资金没有遭受任何损失。
发现漏洞的匿名交易员表示,其浏览器发送到 DX.Exchange 资讯除了用户的个人详细资讯意外,甚至还包含了重置账户密码的连结和其他用户的交易信息。他补充道,“我在 30 分钟内就已经搜集到了上百个代币,仅凭这点就能轻易将你定罪。”
声明中,DX.Exchange 将漏洞归因于“用于身份验证的 Token 发生错误”,但表示已发生损害前,第一时间解决该问题。Skowronski 表示,用户资金并无风险,他解释说:“我们的多层高级监控和防御机制能够避免任何进一步的问题。”
该声明继续指出,任何发现未来错误的开发人员都可以通过 bug 赏金计划直接向交易所报告。
据报导,DX.Exchange 代币所使用的格式为 Json Web,也就是说用户数据可以被直接存放在“Token”中,而不用额外呼叫数据库,所以也就省去了额外的数据库开销,且在微服务架构中也能够方便地分享使用者资料。
然而,这也变相导致相关专业人士可以使用线上工具轻松解码,从而获取交易所用户的个资。
区块客先前曾经报导,DX.Exchange 于 1 月 7 日正式上线,允许客户购买代表科技企业股票的加密代币 (本质上等同于证券型代币),这几家科技企业的股票已于那斯达克证交所挂牌上市,客户能利用特定几种加密货币与法币来购买代币。
DX.Exchange 使用那斯达克的搓合引擎和金融信息交换协议来促成这些数位代币化的证券交易,并且避免出现市场被操纵的情形。
DX.Exchange 的首席运营官 Amedeo Moscato 表示,客户将无法直接购买股票的所有权,而是购买能代表企业股票的代币。
图片来源:
- cryptocurry
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
