根據科技新聞網《Ars Technica》1 月 9 日報導,一位匿名交易員對證券型代幣交易平台 DX.Exchange 進行分析後,發現該平台存在重大安全漏洞,允許第三方輕易捕獲用戶的敏感數據。
DX.Exchange 首席執行長 Daniel Skowronski 1 月 10 日發佈聲明表示,該漏洞已經成功修復,用戶資金沒有遭受任何損失。
發現漏洞的匿名交易員表示,其瀏覽器發送到 DX.Exchange 資訊除了用戶的個人詳細資訊意外,甚至還包含了重置帳戶密碼的連結和其他用戶的交易信息。他補充道,「我在 30 分鐘內就已經蒐集到了上百個代幣,僅憑這點就能輕易將你定罪。」
聲明中,DX.Exchange 將漏洞歸因於「用於身份驗證的 Token 發生錯誤」,但表示已發生損害前,第一時間解決該問題。 Skowronski 表示,用戶資金並無風險,他解釋說:「我們的多層高級監控和防禦機制能夠避免任何進一步的問題。」
該聲明繼續指出,任何發現未來錯誤的開發人員都可以通過 bug 賞金計劃直接向交易所報告。
據報導,DX.Exchange 代幣所使用的格式為 Json Web,也就是說用戶數據可以被直接存放在「Token」中,而不用額外呼叫資料庫,所以也就省去了額外的資料庫開銷,且在微服務架構中也能夠方便地分享使用者資料。
然而,這也變相導致相關專業人士可以使用線上工具輕鬆解碼,從而獲取交易所用戶的個資。
區塊客先前曾經報導,DX.Exchange 於 1 月 7 日正式上線,允許客戶購買代表科技企業股票的加密代幣 (本質上等同於證券型代幣),這幾家科技企業的股票已於那斯達克證交所掛牌上市,客戶能利用特定幾種加密貨幣與法幣來購買代幣。
DX.Exchange 使用那斯達克的搓合引擎和金融信息交換協議來促成這些數位代幣化的證券交易,並且避免出現市場被操縱的情形。
DX.Exchange 的營運長 Amedeo Moscato 表示,客戶將無法直接購買股票的所有權,而是購買能代表企業股票的代幣。