针对先前 Firefox 浏览器爆发“零时差漏洞而被利用来攻击加密货币交易所”事件,其中一家受害交易所 Coinbase 回应称, 该攻击实际上是针对其员工,用户账号并无遭遇任何风险。
Coinbase 资安工程师 Philip Martin 表示,代号为 CVE-2019-11707 的零时差漏洞是跟 Google Project Zero 资安专家 Samuel Groß 共同所发现,得知骇客运用该漏洞攻击 Coinbase,试图取得员工账号,“若攻击成功,骇客可获得 Coinbase 后端网络的访问权限,并从交易所窃取资金。”
根据 Martin 的说法,这种攻击策略过去曾被多次使用,且已导致许多加密货币交易所损失巨额资金,但发现的漏洞当下已立即向网络浏览器供应商 Mozilla 回报, Firefox 随后也推出了新的警急修补版本 67.0.3。
他补充道,“我们拆除了攻击者所使用的恶意软件和基础设施,同时跟多个组织合作摧毁攻击者的基础设施,目前正努力揪出涉案的攻击者。”
资安专家 Groß 则表示,他早在 4 月 15 日就已向 Mozilla 通报此漏洞,但直到近期才被利用于零时差攻击和沙盒逃逸。他解释道,该漏洞允许攻击者在受害者的浏览器中即时远程遥控以执行代码,但仍需配备一个单独的沙盒逃逸漏洞,才能在底层操作系统上运行代码。
Coinbase 最后表示,“目前没有侦测到针对用户所发出的攻击。我们并不是唯一一家受攻击的加密货币组织,团队正在努力通知其他同业。”
另一方面,Coinbase 也于 6 月 20 日宣布推出一项“实时价格警报”通知功能,旨在提醒手机程式用户有关加密货币市场的价格波动情况,协助客户做出更明智的投资决策。
图片来源:
- coinbase: chepicap
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
