LBANK交易所被爆出存在严重威胁用户隐私及财产安全的高危漏洞

据BYSEC.IO区块链生态威胁社区情报公布的信息显示交易所LBANK存在多个中高危漏洞。

LBank.info官方显示该交易所成立于2017年10月，是全球技术顶尖的数字资产交易平台，主要面向全球用户提供安全、专业、便捷的数字资产兑换服务，注册人数260万+，日均交易量3亿美金，目前位列全球数字资产交易平台Top 7。

根据BYSEC.IO的数据表明LBANK交易所存在以下漏洞：

1、“整站CSRF”

CSRF全名为跨站点请求伪造，跨站请求伪造攻击。简而言之，骇客利用你浏览网站时尚未过期的会话来进行伪造，发送恶意请求。 举个例子验证，验证通过后服务器会回传验证成功，可以进行所有“登入后才可以进行的动作。”

这时候骇客利用网银尚未通知闲置过久（会话未过期），可以利用社交工程或者是其他方式让用户在不知不觉中发送请求。

2、“越权导致敏感信息泄露”

越权漏洞是比较常见的漏洞类型，越权漏洞可以理解为，一个正常的用户通常只能够对自己的一些信息进行增删改查，但是由于程序员的一时疏忽，对信息进行增删改查的时候没有进行一个判断，判断所需要操作的信息是否属于对应的用户，可以导致用户可以操作其他人的信息。

3、“越权漏洞”

以上漏洞极有可能导致该交易所上用户个人隐私泄露以及财产安全受到威胁。

LBNK交易作为全球前十大数字交易所，自身巨大的体量应该担起应有的责任，安全问题应该引起官方足够的重视，币安事件就是前车之签。

当然，以上漏洞细节目前还未公布，希望LBANK官方人员及时前去认领，避免造成不可挽回的损失。

通过联系BYSEC.IO之后，我们获取了相关漏洞认领的详细流程：

BYSEC.IO社区将为区块链行业生态安全提供公益性的社区服务，外部安全专家通过真实环境进行威胁情报挖掘，帮助项目方发现安全威胁，同时安全专家获得相应奖励，努力实现区块链项目方与安全专家双赢的良性循环。