区块链安全研究中心BSRC发现部分交易所存在多个严重安全漏洞

近日，工信部与上海交大、掌御科技联合建立的区块链安全研究中心BSRC，发现部分基于同一套源代码开发的“交易即挖矿”的交易所，存在多个重大安全漏洞，可以导致攻击者将任意用户的数字资产转出，造成交易所和用户蒙受巨大损失。

区块链安全研究中心BSRC通过自有“交易所黑盒安全审计系统”对部分知名交易所和最近上线的“交易即挖矿”的交易所进行黑盒安全审计，通过对交易所的用户注册、用户登录、买卖交易和用户提现流程行全面分析和检测后，发现其中多个交易所是在同一套源代码的基础上修改，该交易所源代码存在多个重大漏洞，其中一个高危漏洞导致攻击者可以枚举交易所已注册的用户名，另外几个严重漏洞可以导致任意用户的账户密码和资金密码被攻击者修改，从而攻击者可以完全控制用户的账户权限。

目前，区块链安全研究中心BSRC已经向所有受该系列漏洞影响的交易所通报了该安全威胁，并将在之后公布该系列漏洞的完整细节以及修复建议。