Специалисты компании Sakurity опубликовали в Интернете метод взлома открытого обменника виртуальной валюты Peatio.
Программисты сумели похитить учётную запись пользователя и обойти двухфакторную аутентификацию. На осуществление взлома и заполучение денежных средств экспертам понадобилось 8 часов.
Для похищения учётной записи специалисты воспользовались реализованной в Peatio функцией «Connect Weibo account». Некорректная реализация открытого протокола авторизации позволяет установить контроль над учётной записью пользователя.
Программисты отмечают, что путём довольно простой процедуры злоумышленник может подключить свою учётную запись Weibo к учётной записи клиента Peatio.
Специалисты из Sakurity сумели похитить учётную запись пользователя, обойти двухфакторную аутентификацию и внедрить ссылку, перенаправляющую пользователей на специально созданную фишинговую страницу.
Таким образом, программисты получили возможность похищать виртуальную валюту у любого клиента сервиса, перешедшего по фишинговой ссылке.
Надавно стало известно, что децентрализованная корпорация ATOMIC готовит к запуску одноимённую систему абсолютно свободной торговли и обмена виртуальных валют.