又一家新加坡加密货币交易所BiKi宣布被盗

图片.png

新加坡加密货币交易所BiKi发布公告称,今日(3月26日)凌晨0:00-7:30期间,平台内部分用户的账号被修改密码,平台已经停止一切提现和场外交易,初步排查结果是验证码被黑客劫持,具体原因、涉及的用户数量和资金数量在进一步紧急排查,等待排查结果出来后,平台将会对本次用户资产被盗做一个合理的补偿方案。


BiKi.com关于本次小部分用户账号密码被篡改的详细说明
亲爱的用户,
我们经过几个小时的详细排查,已经定位到具体的问题和采取了相应的解决措施。
1、3月26日凌晨0点08分23秒,我们社群人员收到用户的反馈被篡改密码和绑定新的谷歌验证码,我们第一时间帮助该用户找回,但是在凌晨5点左右,28个用户出现了该问题,同时系统风控收到报警。
2、经排查是小部分用户没有绑定谷歌验证码和第三方验证码服务商短信被劫持同时导致,凌晨6-9点技术安全团队紧急停止了提现和场外交易,对涉及密码修改的账户做了冻结交易的保护、防止资产的转移,并迅速在1小时内迭代风控系统、实现密码修改后48小时内不能提现,更换验证码服务通道等一系列操作,请各位用户及时绑定谷歌验证码。
3、目前,由于风控系统的灵敏预警、团队的快速反应、加上风控审核策略严格等使得很多提现没有过自动审批,成功把篡改密码事件在控制在极小的影响范围内,并没有造成很大的损失;为了避免安全事件的在此发生,我们安全团队正在全面升级风控策略,分别从6大体系全面保护用户资产安全。
4、目前涉及被篡改密码的账户数量为37个,涉及资产转移的账户有18个,损失金额为12.33万USDT,这部分损失完全由平台来承担。
5、近期BiKi.com已经获得杜均500万美金的战略投资,这是杜均2019年单笔投资最大的项目,也是继火币、Fcoin之后最重要支持的战略级交易所;同时我们宣布即日起成立风险保障基金,将杜均的投资款全部打入该基金,另外我们将把每个月收入的20%纳入平台用户风险备付金,全面保障用户资产安全。
2018年8月8日BiKi.com上线以来,我们以每个月翻倍的用户数量在增长,是近半年成长速度最快的交易所,没有之一,目前注册用户接近100万人,日活超过5万,超过了老牌头部的几家交易所,这是熊市给予我们的机会,我们显然是一个在急速增长的平台,每个高速发展的平台在这个过程都会有磕磕绊绊,我们有信心和有能力解决所有遇到的困难,感谢所有用户一如既往的厚爱和支持!
BiKi.com团队


3月26日,BiKi发布公告表示平台内部分用户的账号被修改密码,初步排查结果是验证码被黑客劫持。在此之前的18年12月3日,DVP漏洞平台就曾收到过该交易所类似的漏洞,漏洞详情显示:Biki交易所的手机app存在漏洞,攻击者可通过找回密码功能来修改任意用户的密码,攻击者仅需知晓对方的手机号码即可完成攻击。DVP安全团队在收到相关漏洞后第一时间进行了邮件通报,但并未收到过回应。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(星球日报)及本页链接。原文链接 https://www.odaily.com/newsflash/142013

白帽汇安全研究院转载2019-03-26 14:36:12 星球日报 1269