Исследователи опубликовали метод взлома обменника криптовалюты
Экспертам удалось похитить учетную запись пользователя и обойти двухфакторную аутентификацию.
Специалисты компании Sakurity опубликовали метод взлома открытого обменника криптовалюты Peatio. На осуществление взлома и похищение денежных средств экспертам понадобилось восемь часов. Также исследователям удалось обнаружить интересную цепь критических уязвимостей в системе Peatio.
Как отмечается в блоге Sakurity, специалисты осуществили попытку похищения учетной записи пользователя. В сервисе Peatio реализована функция «Connect Weibo account». Согласно документу OAuth Security Cheatsheet, некорректная реализация открытого протокола авторизации позволяет получить контроль над учетной записью пользователя. По словам специалистов, нехитрые манипуляции позволяют злоумышленнику подключить свою учетную запись Weibo к аккаунту клиента Peatio.
Экспертам Sakurity удалось похитить учетную запись пользователя, обойти двухфакторную аутентификацию и внедрить ссылку, перенаправляющую пользователей на специально созданную фишинговую страницу. Таким образом, специалисты получили возможность похищать криптовалюту у любого клиента сервиса, перешедшего по фишинговой ссылке.