全球最大的恒星币交易所Justcoin疑似被盗5400万个STR

 

 

10月10日，Justcoin重新开放，但恒星币（STR）及瑞波币（XRP）市场仍然关闭，也不能提现。

 

事件回放：

 

疑似2起双重网关被入侵  同一漏洞被利用

 

1.Justcoin疑似被盗5400万个恒星币和3600万个瑞波币（后文有数据支持，可供验证）

10月8日下午1点56分，有5400万恒星币被从Justcoin提走。半小时后交易所宣布由于技术原因暂时关闭。（见图2）

2.国内的瑞狐网关今早也发生此类事件
 

次日，中国的瑞狐网关（https://ripplefox.com）,同样是Ripple和Stellar双重网关,被外国黑客用疑似相同手法攻击，但由于采取了校验金额，故未受任何损失。

 

黑客手法猜想：利用“部分成交”特性骗取资产

 

瑞狐网关的梁站长分析，Justcoin交易所极有可能是被黑客利用“部分成交”特性骗取了这一部分资产。因为恒星网络和瑞波网关技术同源，所 以极有可能损失的不仅是已知的5400多万恒星币。黑客完全可以用相同的手法骗取所有Justcoin交易所在瑞波网关和恒星网关发行的任何币种（恒星 币，瑞波币，比特币）。

 

技术情节还原：黑客充值数量和实际发送不对等，网关未验证直接全额发送

 

黑客通过瑞波网络充值了一大笔恒星币，因为“部分成交”特性，网络服务器显示交易成功，并显示交易金额为5000万。但事实上黑客只发送了 100个或更少。这时Justcoin的充值系统并未校验事实上的到账金额，而是直接往黑客的交易所账户充值了真正的5400万恒星币。于是黑客顺利的用 提现功能提走了货真价实的5000万恒星币。

 

如何避免？几点温馨提示供参考

 

1.其他网关，注意校验金额

 

瑞狐站长提醒其他网关，在收到充值金额时，必须校验金额。在返回的服务器信息中，如果是部分成交，会有实际金额字段（meta.DeliveredAmount）出现。因为正常交易不出现这个字段，所以很多技术人员会忽略这一特性，这只能说是瑞波留下的一个大“坑”了。

 

2.个人用户,采用最新的钱包客户端

 

因为最新的钱包版本会显示实际收到的金额。而老钱包则不会显示。

 

3.谨慎选择可靠的网关和交易所

 

最近各种安全事件频频发生，希望大家在交易时选择技术可靠的网关和交易所。

 

以上猜想分析来源于瑞狐网关的梁站长，在此表示感谢！

数据支持：点此链接即可查看黑客记录，目前已提走3600万个瑞波币。
更多信息可参见论坛：https://stellartalk.org/

 https://rippleinfo.sinaapp.com/#rDuV4ndTFUn5NjLJSTNfEFMTxqQVeafvxC