Coinbase 資安工程師 Philip Martin 表示,代號為 CVE-2019-11707 的零時差漏洞是跟 Google Project Zero 資安專家 Samuel Groß 共同所發現,得知駭客運用該漏洞攻擊 Coinbase,試圖取得員工帳號,「若攻擊成功,駭客可獲得 Coinbase 後端網絡的訪問權限,並從交易所竊取資金。」
根據 Martin 的說法,這種攻擊策略過去曾被多次使用,且已導致許多加密貨幣交易所損失巨額資金,但發現的漏洞當下已立即向網絡瀏覽器供應商 Mozilla 回報, Firefox 隨後也推出了新的警急修補版本 67.0.3。
他補充道,「我們拆除了攻擊者所使用的惡意軟體和基礎設施,同時跟多個組織合作摧毀攻擊者的基礎設施,目前正努力揪出涉案的攻擊者。」
資安專家 Groß 則表示,他早在 4 月 15 日就已向 Mozilla 通報此漏洞,但直到近期才被利用於零時差攻擊和沙盒逃逸。他解釋道,該漏洞允許攻擊者在受害者的瀏覽器中即時遠程遙控以執行代碼,但仍需配備一個單獨的沙盒逃逸漏洞,才能在底層操作系統上運行代碼。
Coinbase 最後表示,「目前沒有偵測到針對用戶所發出的攻擊。我們並不是唯一一家受攻擊的加密貨幣組織,團隊正在努力通知其他同業。」
另一方面,Coinbase 也於 6 月 20 日宣布推出一項「實時價格警報」通知功能,旨在提醒手機程式用戶有關加密貨幣市場的價格波動情況,協助客戶做出更明智的投資決策。
圖片來源:
- coinbase: chepicap
