本文披露了一个交易平台的充值漏洞,用户可以使用任意hash进行充值,导致资金安全风险。文章提供了测试账号及hash示例,指出交易所处于测试阶段,充值后无法提现,并提出了加强验证的修复建议。
漏洞URL:
https://www.mv.cool/
简要描述:
此交易平台充值的时候给了用户一个手动输入检查充值hash 的选项,用户随意在区块上找一个hash可充值成功。造成任意充值。
漏洞证明:
漏洞利用代码:
Test account : xxxxx@xxxxxxx.com
Test Password:1xxxxxxxa
我刚注册的一个账户,证明可注册
hash: 0xa17fe4304f7933a088336396288642f738ebb0959242b03643ee1bb320869e23
随意找了个 tx hash。在充币时点充币查询可成功入账
提取:由于需要提供KYC才可提取既无测试
修复方案:
加强验证。
==============================================================
审核反馈:
目前交易所暂未开放注册,属于测试阶段,充值后不能提现
由于该交易所未在榜单,依据规则属于五等厂商,奖励1024 DVP
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
