更新：在2018/07/10，最新版本的LBank移动应用已经解决了报告的问题！感谢LBank团队负责和及时的升级！

在2018-6-29，北京时间的上午1:00，PeckShield的研究人员再次确认了LBank移动应用中的traderion漏洞——这是排名前十的加密货币交易之一。 具体来说，攻击者可以提取用户当前登录会话的session ，此token可通过重放创建订单数据包来发布任意的交易，更糟糕的是，尽管撤回数字资产，LBank手机应用程序（Android和iOS版本）都容易发生中间人（MITM）攻击，这可能导致严重的财务损失。在这个问题得到确认的时候，我们立即通知了LBank，并且验证了POC。

在北京时间2018/7/10下午11:32:00 ，LBank在其官方网站上宣布，他们的安全响应团队已经将补丁应用于“traderibug”漏洞报告，该报告与2018/6/29日发布的，LBank在声明中还声称，他们的用户的加密资产没有受到这个漏洞的影响。

现在，是时候检查细节了。现在，我们首先向您展示普通用户如何登录，发布交易以及提取数字资产。

图1：正常的用户登录会话，然后是交易和取款事务

我们在图1中展示了LBank app应用中使用的2FA机制，以提高安全性。 然而，由于整个登录握手都是通过http完成的，所以从LBank服务器发回的token 可以被窃听。 因此，只要受害者仍然登录，攻击者就可以通过简单地将数据包重放到LBank服务器来使用此token发布新交易。图2演示了如何从移动应用程序和服务器之间的明文通信中提取图2：提取令牌 。

图2：提取Token

通过使用这个Token ，攻击者可以与自己进行低价交易，窃取受害者的数字资产。 此外，如果攻击者危及许多LBank用户，某些加密货币的价格将受到极大影响。 另一方面， 提款过程很容易受到MITM的影响，如图3所示。

图3：在提款过程中MITM攻击

攻击者可以操纵取款地址或LBank服务器发送给受害者的金额。 图4证明了明文提取请求可以简单地被截断，使攻击者能够从LBank用户那里窃取任意数量的数字资产。

图4：明文提款请求

我们再次高兴地注意到 ，根据我们的漏洞报告，LBank团队迅速解决了问题。我们非常赞赏他们的反应迅速。从现在开始，LBank已经升级了移动应用，这个问题已经解决了，我们选择在这个博客中发布相关的技术细节。网络安全对任何加密货币交换都至关重要，PeckShield随时为您提供帮助！

关于我们

PeckShield公司是一家领先的区块链安全公司，其目标是提升当前区块链生态系统的安全性、隐私性和可用性。如有任何商业或媒体咨询，请通过Telegram, Twitter, or Email. 联系。

参考

• [1] LBank: Announcement about Fixing the tradeRifle Vulnerabilities Identified in LBank Mobile Apps, July 10, 2018

审核人：yiwang   编辑：边边