### Các nhà nghiên cứu tìm thấy sai sót trong các giao thức bảo mật được phát triển bởi các trao đổi tiền điện tử lớn
** #crypto #security #Exchanges #Flaws #Nghiên cứu **
Một nhóm các nhà nghiên cứu từ Đại học California, Berkeley, đã tìm thấy những sai sót an ninh quan trọng trong các giao thức được sử dụng bởi các trao đổi tiền điện tử lớn.Các lỗ hổng có thể cho phép kẻ tấn công đánh cắp tiền từ tài khoản của người dùng hoặc có quyền truy cập trái phép vào dữ liệu nhạy cảm.
Các nhà nghiên cứu nói rằng họ đã thông báo cho các trao đổi bị ảnh hưởng về các lỗ hổng và đang làm việc với họ để phát triển các bản vá.Tuy nhiên, họ tin rằng các lỗ hổng đủ nghiêm trọng để người dùng nên biết về chúng và thực hiện các bước để bảo vệ tài khoản của họ.
Một trong những lỗ hổng mà các nhà nghiên cứu tìm thấy là một lỗ hổng trong cách mà nhiều trao đổi xử lý các yêu cầu rút tiền.Khi người dùng yêu cầu rút tiền từ tài khoản của họ, trao đổi thường gửi email xác nhận đến địa chỉ của người dùng.Sau đó, người dùng nhấp vào một liên kết trong email để xác nhận việc rút tiền.
Các nhà nghiên cứu nhận thấy rằng quá trình này dễ bị tổn thương bởi một cuộc tấn công giữa người đàn ông.Kẻ tấn công có thể chặn email xác nhận và gửi email giả cho người dùng, hướng họ đến một trang web độc hại.Nếu người dùng nhấp vào liên kết trong email giả, họ sẽ bị lừa nhập thông tin đăng nhập của họ trên một trang web do kẻ tấn công kiểm soát.Kẻ tấn công sau đó có thể sử dụng các thông tin này để truy cập vào tài khoản của người dùng và đánh cắp tiền của họ.
Các nhà nghiên cứu cũng tìm thấy một lỗ hổng trong cách nhiều trao đổi xử lý xác thực hai yếu tố (2FA).2FA là một biện pháp bảo mật yêu cầu người dùng cung cấp hai hình thức nhận dạng khi họ đăng nhập vào tài khoản của họ.Điều này làm cho những kẻ tấn công khó khăn hơn trong việc truy cập trái phép vào tài khoản, ngay cả khi chúng đã đánh cắp mật khẩu của người dùng.
Tuy nhiên, các nhà nghiên cứu nhận thấy rằng nhiều trao đổi thực hiện 2FA theo cách dễ bị tấn công phát lại.Một cuộc tấn công phát lại xảy ra khi kẻ tấn công chặn yêu cầu 2FA hợp pháp và gửi lại sau, khi người dùng không mong đợi.Điều này có thể cho phép kẻ tấn công bỏ qua 2FA và có quyền truy cập trái phép vào tài khoản của người dùng.
Các nhà nghiên cứu nói rằng các lỗ hổng mà họ đã tìm thấy là nghiêm trọng và có thể có tác động đáng kể đến an ninh của các trao đổi tiền điện tử.Họ kêu gọi người dùng thực hiện các bước để bảo vệ tài khoản của họ, chẳng hạn như sử dụng mật khẩu mạnh, cho phép 2FA và nhận thức được các rủi ro của các cuộc tấn công lừa đảo.
### Người giới thiệu
* [Đại học California, Berkeley] (https://www.berkeley.edu/)
* [Trao đổi tiền điện tử] (https://www.coindesk.com/)
* [Lỗ hổng bảo mật] (https://www.wired.com/)
* [Tấn công lừa đảo] (https://www.cnet.com/)
=======================================
### Researchers Find Flaws in Security Protocols Developed by Major Crypto Exchanges
**#crypto #security #Exchanges #Flaws #Research**
A team of researchers from the University of California, Berkeley, has found critical security flaws in the protocols used by major cryptocurrency exchanges. The flaws could allow attackers to steal funds from users' accounts or gain unauthorized access to sensitive data.
The researchers say that they have notified the affected exchanges of the vulnerabilities and are working with them to develop patches. However, they believe that the flaws are serious enough that users should be aware of them and take steps to protect their accounts.
One of the vulnerabilities that the researchers found is a flaw in the way that many exchanges handle withdrawal requests. When a user requests to withdraw funds from their account, the exchange typically sends a confirmation email to the user's address. The user then clicks on a link in the email to confirm the withdrawal.
The researchers found that this process is vulnerable to a man-in-the-middle attack. An attacker could intercept the confirmation email and send a fake email to the user, directing them to a malicious website. If the user clicks on the link in the fake email, they will be tricked into entering their login credentials on a website controlled by the attacker. The attacker could then use these credentials to access the user's account and steal their funds.
The researchers also found a flaw in the way that many exchanges handle two-factor authentication (2FA). 2FA is a security measure that requires users to provide two forms of identification when they log in to their accounts. This makes it more difficult for attackers to gain unauthorized access to accounts, even if they have stolen the user's password.
However, the researchers found that many exchanges implement 2FA in a way that is vulnerable to a replay attack. A replay attack occurs when an attacker intercepts a legitimate 2FA request and sends it again later, when the user is not expecting it. This can allow the attacker to bypass 2FA and gain unauthorized access to the user's account.
The researchers say that the vulnerabilities they have found are serious and could have a significant impact on the security of cryptocurrency exchanges. They urge users to take steps to protect their accounts, such as using strong passwords, enabling 2FA, and being aware of the risks of phishing attacks.
### References
* [University of California, Berkeley](https://www.berkeley.edu/)
* [Cryptocurrency Exchanges](https://www.coindesk.com/)
* [Security Flaws](https://www.wired.com/)
* [Phishing Attacks](https://www.cnet.com/)
** #crypto #security #Exchanges #Flaws #Nghiên cứu **
Một nhóm các nhà nghiên cứu từ Đại học California, Berkeley, đã tìm thấy những sai sót an ninh quan trọng trong các giao thức được sử dụng bởi các trao đổi tiền điện tử lớn.Các lỗ hổng có thể cho phép kẻ tấn công đánh cắp tiền từ tài khoản của người dùng hoặc có quyền truy cập trái phép vào dữ liệu nhạy cảm.
Các nhà nghiên cứu nói rằng họ đã thông báo cho các trao đổi bị ảnh hưởng về các lỗ hổng và đang làm việc với họ để phát triển các bản vá.Tuy nhiên, họ tin rằng các lỗ hổng đủ nghiêm trọng để người dùng nên biết về chúng và thực hiện các bước để bảo vệ tài khoản của họ.
Một trong những lỗ hổng mà các nhà nghiên cứu tìm thấy là một lỗ hổng trong cách mà nhiều trao đổi xử lý các yêu cầu rút tiền.Khi người dùng yêu cầu rút tiền từ tài khoản của họ, trao đổi thường gửi email xác nhận đến địa chỉ của người dùng.Sau đó, người dùng nhấp vào một liên kết trong email để xác nhận việc rút tiền.
Các nhà nghiên cứu nhận thấy rằng quá trình này dễ bị tổn thương bởi một cuộc tấn công giữa người đàn ông.Kẻ tấn công có thể chặn email xác nhận và gửi email giả cho người dùng, hướng họ đến một trang web độc hại.Nếu người dùng nhấp vào liên kết trong email giả, họ sẽ bị lừa nhập thông tin đăng nhập của họ trên một trang web do kẻ tấn công kiểm soát.Kẻ tấn công sau đó có thể sử dụng các thông tin này để truy cập vào tài khoản của người dùng và đánh cắp tiền của họ.
Các nhà nghiên cứu cũng tìm thấy một lỗ hổng trong cách nhiều trao đổi xử lý xác thực hai yếu tố (2FA).2FA là một biện pháp bảo mật yêu cầu người dùng cung cấp hai hình thức nhận dạng khi họ đăng nhập vào tài khoản của họ.Điều này làm cho những kẻ tấn công khó khăn hơn trong việc truy cập trái phép vào tài khoản, ngay cả khi chúng đã đánh cắp mật khẩu của người dùng.
Tuy nhiên, các nhà nghiên cứu nhận thấy rằng nhiều trao đổi thực hiện 2FA theo cách dễ bị tấn công phát lại.Một cuộc tấn công phát lại xảy ra khi kẻ tấn công chặn yêu cầu 2FA hợp pháp và gửi lại sau, khi người dùng không mong đợi.Điều này có thể cho phép kẻ tấn công bỏ qua 2FA và có quyền truy cập trái phép vào tài khoản của người dùng.
Các nhà nghiên cứu nói rằng các lỗ hổng mà họ đã tìm thấy là nghiêm trọng và có thể có tác động đáng kể đến an ninh của các trao đổi tiền điện tử.Họ kêu gọi người dùng thực hiện các bước để bảo vệ tài khoản của họ, chẳng hạn như sử dụng mật khẩu mạnh, cho phép 2FA và nhận thức được các rủi ro của các cuộc tấn công lừa đảo.
### Người giới thiệu
* [Đại học California, Berkeley] (https://www.berkeley.edu/)
* [Trao đổi tiền điện tử] (https://www.coindesk.com/)
* [Lỗ hổng bảo mật] (https://www.wired.com/)
* [Tấn công lừa đảo] (https://www.cnet.com/)
=======================================
### Researchers Find Flaws in Security Protocols Developed by Major Crypto Exchanges
**#crypto #security #Exchanges #Flaws #Research**
A team of researchers from the University of California, Berkeley, has found critical security flaws in the protocols used by major cryptocurrency exchanges. The flaws could allow attackers to steal funds from users' accounts or gain unauthorized access to sensitive data.
The researchers say that they have notified the affected exchanges of the vulnerabilities and are working with them to develop patches. However, they believe that the flaws are serious enough that users should be aware of them and take steps to protect their accounts.
One of the vulnerabilities that the researchers found is a flaw in the way that many exchanges handle withdrawal requests. When a user requests to withdraw funds from their account, the exchange typically sends a confirmation email to the user's address. The user then clicks on a link in the email to confirm the withdrawal.
The researchers found that this process is vulnerable to a man-in-the-middle attack. An attacker could intercept the confirmation email and send a fake email to the user, directing them to a malicious website. If the user clicks on the link in the fake email, they will be tricked into entering their login credentials on a website controlled by the attacker. The attacker could then use these credentials to access the user's account and steal their funds.
The researchers also found a flaw in the way that many exchanges handle two-factor authentication (2FA). 2FA is a security measure that requires users to provide two forms of identification when they log in to their accounts. This makes it more difficult for attackers to gain unauthorized access to accounts, even if they have stolen the user's password.
However, the researchers found that many exchanges implement 2FA in a way that is vulnerable to a replay attack. A replay attack occurs when an attacker intercepts a legitimate 2FA request and sends it again later, when the user is not expecting it. This can allow the attacker to bypass 2FA and gain unauthorized access to the user's account.
The researchers say that the vulnerabilities they have found are serious and could have a significant impact on the security of cryptocurrency exchanges. They urge users to take steps to protect their accounts, such as using strong passwords, enabling 2FA, and being aware of the risks of phishing attacks.
### References
* [University of California, Berkeley](https://www.berkeley.edu/)
* [Cryptocurrency Exchanges](https://www.coindesk.com/)
* [Security Flaws](https://www.wired.com/)
* [Phishing Attacks](https://www.cnet.com/)
