Security
支付協議——應該防止中間人攻擊——是否已經實施過?
通常提到支付協議“BIP 0070”(Andresen,29-07-2013)應該解決的兩個主要問題是可用性和防止中間人攻擊。在後者中,當向客戶顯示支付地址時,攻擊者將用他擁有的地址代替商家的地址。這可能導致客戶而不是商家向攻擊者付款。
這種攻擊以前做過嗎?如果是這樣,它是如何實施的?或者這只是一個理論問題?
我不確定是否有經過核實的報導,但如果中間沒有任何人參與襲擊,我會感到震驚。
做起來超級簡單。破壞供應商支付處理(利用供應商網路伺服器上的安全漏洞。如果錢包地址是從本地比特幣實例生成的,攻擊者可以將地址生成程式碼從供應商實例指向他們自己的惡意比特幣實例。 . 或者惡意使用者可能只是將他們自己的地址硬編碼到支付處理中. 取決於它需要多麼複雜. 你甚至可以通過擁有他們的錢包副本來危害供應商, 默默地觀察一個大交易然後執行一次你會發現一大堆硬幣。)你可以破壞他們的支付網關 api 並將其重定向到你(或你的硬幣地址)而不是供應商地址。或者如果他們使用電子郵件:
可悲的是,腳本小子可以(並且可能已經)執行了一種或所有這些攻擊方法……有很多方法可以做到這一點。這些只是我腦海中的一些。
注意安全。不要嘗試任何這些!此資訊已發布,以便您了解要記住的內容。