古老的网络安全漏洞暴露于Blockfolio

截至4月22日，大约有5400种加密货币在交易，市值达到2010亿美元。最近24小时的每日交易量一直徘徊在1000亿美元左右，这是该行业持续增长和投资者积极参与的关键指标。

众所周知的事实是，加密货币是可用的最易变的资产之一，几乎不可能连续监控其波动。幸运的是，自2017年以来，我们已经看到许多加密货币投资组合追踪器正在开发并被市场接受。

加密货币投资组合代表交易员在不同类型的加密资产中持有的任何投资组合。例如，如果投资者拥有10个代币或代币，则这些代币或代币共同代表其投资组合。投资组合反映了交易者/投资者的风格，他们的风险承受能力以及他们的市场策略的关键要素。

Blockfolio的知名度上升

伊恩·巴利纳（Ian Balina）是Tokenmetrics的区块链企业家，投资者，分析师兼首席执行官，他一直对COVID-19大流行对加密货币领域的经济影响持非常强烈的声音-当他在Instagram上发布自己令人印象深刻的Blockfolio屏幕截图时，Blockfolio闻名于世。 Balina坚信在商业环境中使用加密货币。

Blockfolio应用程序是运行时间最长的跟踪平台之一，并且可以成为您个人会计软件工具的一部分，今天，其中大多数工具都可以通过应用程序编程接口或API连接您的银行帐户，同步费用并为您准备纳税时间。它允许用户输入各种加密货币以及增加其最初购买和/或出售价格的能力。诱人的用户界面以及众多领先影响者的使用使其成为2017年下载次数最多的加密货币应用程序之一。

在过去的几个月中，Blockfolio还推出了一个称为“ Blockfolio Signal”的功能-它相信该功能将成为该应用程序内的主要通信平台。此功能会向您持有或想要添加到投资组合的每个资产背后的团队提供其他通知。

另一个功能是它可以建立多个投资组合，这对于您的投资分类及其个人跟踪非常有用。

Blockfolio目前支持Binance，Bitfinex，Bittrex，Coinbase和Coinbase Pro，OKEx和Poloniex，并且最近为其用户提供了将其现有的加密资产组合导入TokenTax的自动化软件的能力，以赶上即将到来的税收季节。 Blockfolio也完全免费使用，但Blockfolio的创始人在最近的一份声明中表示，它计划在不久的将来通过Blockfolio Signal功能通过该应用获利。

Blockfolio平台拥有超过500万活跃用户，可利用该平台管理其投资组合。 Blockfolio Signal上有超过400个团队，其中包括来自Monero（XMR），Dash，NEO，Ether（ETH），NEM，Zcash（ZEC）等的团队成员和代表。 Blockfolio还支持8,000多种加密资产，并连续从300多家交易所中收集数据，以随时了解任何价格或市场动态。

有关Blockfolio漏洞的更多信息

最近在Blockfolio的源代码中发现了一个主要的安全漏洞。该漏洞出现在该应用程序的早期版本中，该漏洞使黑客能够窃取封闭的源代码，并可能通过在Blockfolio的GitHub存储库中引入自己的代码，并最终将其引入应用程序本身来操纵数据。

在评估了他使用的加密货币平台的安全性之后，网络安全公司Intezer的安全研究员Paul Litvak发现了这一弱点。自2017年开发交易机器人以来，Litvak对加密货币一直很感兴趣，而Blockfolio一直是他的首选管理平台，直到最近的发现为止。

目前有超过4,700万区块链钱包用户在使用，黑客拥有大量可能成为目标的受害者，这就是他们积极瞄准加密货币平台的原因。发现Litvak的代码通过使用一系列常量（包括文件名和最重要的是允许访问该存储库的GitHub密钥）链接到组织的GitHub存储库。

该应用程序查询了Blockfolio的私有GitHub存储库，该查询导致直接从GitHub立即下载Blockfolio的FAQ（常见问题），这可能是为了节省公司每次进行更改时更新其应用程序的工作。

但是，Litvak发现的密钥很麻烦，因为它可以访问整个GitHub存储库并加以利用。他很想知道这种危害是否仍然存在，因为该申请已经有好几年了。

根据GitHub的说法，“存储库”提供对公共和私有存储库的直接访问，并且除其他功能外，还具有读写代码和提交状态以及组织项目的功能。

更糟糕的是，这个发现的漏洞已经公开发布了两年，并且仍然处于开放状态。 Litvak通过社交媒体向Blockfolio通知了该漏洞，因为Blockfolio并未利用漏洞赏金计划来消除漏洞。

Blockfolio的联合创始人兼CEO爱德华·蒙卡达（Edward Moncada）确认，旧版本的代码库中错误地保留了GitHub访问令牌，并且一旦收到该漏洞的警报，他们便撤消了对该特定密钥的访问。 Moncada表示，Blockfolio已对其系统进行了审核，并且未进行任何更改。由于令牌提供对与存储用户数据的数据库不同的代码的访问权限，因此不会危及用户数据。

该令牌可能已经能够允许某人更改源代码，但是在发布对系统的任何更改或更新之前，已经检查了一些内部过程，因此，恶意代码也不会被释放给任何人。的用户。

此处表达的观点，想法和观点仅代表作者个人，不一定反映或代表Cointelegraph的观点和观点。

山姆·博塞塔是一位自由撰稿人，专门研究美国外交和国家安全，重点关注网络战，网络防御和加密技术的发展趋势。之前，Sam是美国国防部的承包商，与建筑师和开发人员合作减轻对跨应用程序识别的漏洞的控制。

—-

原文链接：https://cointelegraph.com/news/years-old-cybersecurity-vulnerably-exposed-in-blockfolio

原文作者：Cointelegraph By Sam Bocetta

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。