前几日,Odaily星球日报报道过可以用币买token股票的交易所Dx.Exchange,该交易所宣称由纳斯达克提供技术支持,允许用户交易包括苹果、脸书和特斯拉在内的公司股票。但是,这项服务刚上线没多久,一位不具姓名的交易员向外媒ArsTechnica称,Dx.Exchange存在安全漏洞,这些漏洞若被不法分子利用,则会对平台用户造成损失。该交易员表示,自己创建了一个马甲账户来测试Dx.Exchange平台的安全性和稳定性。但是当他用GoogleChrome浏览器的开发工具测试后,惊讶的发现自己从浏览器发送到Dx.Exchange的请求,包含认证后的令牌和访问用户的详细信息。比如密码重置的链接。这些令牌通过JSONWebToken这一开放标准进行格式化,但是对于精通于此的人来说,完全可以轻松获得用户的电子邮件地址和令牌所有者的全名。该交易员还表示,自己在30分钟内就收集了大约100个令牌。如果检察官想据此给我定罪,是完全合理的。交易员称如果这些用户一直处于登陆状态,那么他就可以访问这些账户,并从这些令牌中获得平台所泄露的用户信息。而且即便这些用户不在线了,交易员也可有对这些帐户的访问权限。Dx.Exchange的安全问题不止于此,这位交易员还表示,Dx.Exchange平台上的员工账户的令牌数据也是可以访问的。如果黑客能够进入员工的管理帐户,那么将会发生灾难。在这名交易员向Dx.Exchange通报了这些问题,Dx.Exchange表示将对这些错误进行修正和更新,修补漏洞。
除了这次被曝出的安全问题,Dx.Exchange还受到业内人士对其合法合规方面的质疑。据CNBC报道,Securrency的联合创始人DanDoney对Dx.Exchange的做法表示不确定甚至怀疑态度,因为在没有经过这些上市公司股东的同意下,就在自家平台上线这些公司的代币化股票是不可行的。不过,DanDoney还表示,如果这个模型能够执行得当,是可以符合监管标准的。将区块链技术应用到股票中,将股票代币化的还有美国的注册经纪交易商SharesPost,其与BlockchainCapital发行的BCAP股票代币签署了第一笔二级交易。SharesPost没有披露交易规模,但表示,这次只是一个小型交易,作为一个试点项目。主要参考资料:
Hotnewtradingsiteleakedoodlesofuserdata,includinglogintokensAppleandTeslasharesontheblockchaincouldbethenextbigthingincryptoDx.ExchangeHasSeriousSecurityWeaknessesthatCouldbeEasilyCriminalized下周,你可以用币买苹果的token股票了JSONWebToken入门教程我是Odaily星球日报的齐明,探索真实区块链,日常喜欢和各路大神聊天。项目交流、爆料请加微信qingmoruoshui,烦请备注姓名、公司、职务。转载/内容合作/报道联系report@odaily.com;违规转载法律必究。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。