Results 1 to 7 of 7

Thread: Взлом altmarkets.cc

  1. #1
    Новичок
    Join Date
    Aug 2018
    Posts
    3

    Восклицание Взлом altmarkets.cc

    По данным опубликованным на главной странице altmarkets, после взлома и из переписки с менеджерами биржи могу сообщить следующее.
    Было произведено изменение в базе данных баланса BTC, одного из пользователей, до 25 монет, при помощи SQL инъекции
    После чего с биржи по бросовой цене, были дополнительно выкуплены DOGE и x42. И выведены несколькими транзакциями.

    Общие потери:
    864878 doge
    2.785 BTC
    61924 x42

    21435 из тех x42 удалось перехватить на бирже, на которую были выведены.

    Ориентировочно проблема в файле database.js

    Один из пользователей изучив его структуру, сообщил, что он достаточно широко уязвим к внедрению вражеского кода третьими сторонами через главную страницу биржи.
    Предложил использовать библиотеку типа https://github.com/lusakasa/sqorn безопасную для SQL инъекций.

  2. #2
    Администратор
    Join Date
    Oct 2017
    Posts
    322
    Я думаю, что проблема у них была в том же месте, что и у меня в августе. Если вы помните OpenTrade в конце августа легла не техработы примерно на 2 недели. Пока я занимался поиском и устранение проблем, альтмаркетс занимались маркетингом своей биржи, делали красивый фронтэнд. Когда я наконец добавил в код дополнительных проверок и сделал коммит, альтмаркетс решили видимо не обновляться. Это их выбор. Сами виноваты.

    Сейчас в коде биржи добавилось множество проверок баланса пользователя: две проверки при постановке ордера, проверка при выводе, блокировка при слишком крупном выводе.
    Каждый момент когда баланс пользователя показывает несоответствие - пишется в лог файл. Это конечно костыль, но по крайней мере позволит безопасно, без спешки искать и отлаживать уязвимости.

    Насчет использования сторонних библиотек - это ваш выбор. Я к сторонним библиотекам отношусь с крайней осторожностью. Те же альтмаркетс кстати тоже любители сторонних библиотек у них во фронтэнде была как минимум одна непонятная библиотека сортировки таблиц, может в ней поискать вредонос лучше?

    Пользователю, который сообщил о возможности инжекта, я предлагаю не бросать слов на ветер, а залогиниться и попробовать провести эту атаку на OpenTrade. А то на словах-то мы все кульхасцкеры )

  3. #3
    Новичок
    Join Date
    Aug 2018
    Posts
    3
    Проблему в Августе помню, мне тоже атака показалась очень похожей.
    Я им задавал вопрос по внедрению тех коммитов. Они утверждают что Сентябрьские коммиты у них интегрированы.
    Last edited by CryptorClub; 11-17-2018 at 06:24 PM.

  4. #4
    Администратор
    Join Date
    Oct 2017
    Posts
    322
    Я не помню в каком коммите появилась эта строчка
    https://github.com/3s3s/opentrade/bl...wallet.js#L769
    Но на данный момент она защищает от той атаки которую они описывают. Эта функция проверяет баланс пользователя по истории торговли и ввода/вывода. Если есть несоответствие с тем что в базе, то баланс в базе фиксится, изменения пишутся в лог.

    Я все таки думаю, что они в какой-то момент перестали синхронизироваться с гитхабом. Возможно потому, что по началу проверок было слишком много и было много жалоб на постоянные блокировки.

  5. #5
    Администратор
    Join Date
    Oct 2017
    Posts
    265
    Quote Originally Posted by kzv View Post
    Я не помню в каком коммите появилась эта строчка
    https://github.com/3s3s/opentrade/bl...wallet.js#L769
    Но на данный момент она защищает от той атаки которую они описывают. Эта функция проверяет баланс пользователя по истории торговли и ввода/вывода. Если есть несоответствие с тем что в базе, то баланс в базе фиксится, изменения пишутся в лог.

    Я все таки думаю, что они в какой-то момент перестали синхронизироваться с гитхабом. Возможно потому, что по началу проверок было слишком много и было много жалоб на постоянные блокировки.
    во тут мне не понятно, если у меня есть инъекция которой я могу изменять содержимое базы что мне мешает нарисовать историю торговли под свой новый баланс 10 битков, тем более код публичный и можем легко посмотреть что именно проверяется и где

  6. #6
    Администратор
    Join Date
    Oct 2017
    Posts
    322
    Quote Originally Posted by drukar View Post
    во тут мне не понятно, если у меня есть инъекция которой я могу изменять содержимое базы что мне мешает нарисовать историю торговли под свой новый баланс 10 битков, тем более код публичный и можем легко посмотреть что именно проверяется и где
    То есть кроме изменения таблицы баланса, для вывода нужно поправить еще и таблицу истории. Еще надо поправить константу которая отвечает за сумму максимального вывода (правда по дефолту она 100% может ее и не меняли). Теоретически возможно, что хакер все это предусмотрел, но что-то мне подсказывает что не было никакой иньекции...

  7. #7
    Пользователь
    Join Date
    Jun 2018
    Posts
    40
    Not sure this is related or not to openTrade code base:

    https://cointelegraph.com/news/bitpa...vice-for-users

    BitPays hacks was also on javascript NPM code base modules.

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •