比特幣買美股、Nasdaq支持的交易所Dx. Exchange，上線後遭爆「重大資安漏洞」

使用納斯達克的搓合引擎來進行代幣交易所Dx.Exchange1月7日啟動測試。除了搓合引擎之外，該平台還使用納斯達克的金融信息交換（FIX）協議，該協議是美國許多期權證券交易公司使用的標準，協議中定義了進行證券交易的雙方的電子消息交換的相關規範。該交易所在推出前，它在金融新聞領域就受到了大肆宣傳和曝光。

該交易所在1月7日進行了一次啟動試驗，並已為加密貨幣和美國股票之間，以持有代幣作為投資股份的形式建立了一個橋樑，並向市場銷售。也就是說，用戶可以透過加密貨幣購買代表美股的持份，透過持有代幣已領取股票（如：Apple）的股息。除了已加密貨幣投資Apple、Facebook和Nvidia等股票的數字化代幣，也可以在該平台上交易一些主流的加密貨幣。

>>前情提要：用加密貨幣買Apple股票，並「持幣領股息」？— Nasdaq技術支持DX.Exchange四天後推出

雖然該交易所在多數新聞媒體報導後，獲得大量的支持聲浪。但由於有報導稱Dx.Exchange存在一些重大安全問題，原本飽受期待的交易所已經讓多數人關注他的風險與擔憂。日前，一位交易員檢驗了平台的安全性，遇到了許多安全問題，並表示這間交易所很可能輕易的被罪犯用來作惡。

由於牽涉到法律相關的問題，該交易員沒有揭露他的身份，不過他對這間新推出的Dx.Exchnage平台進行了一些檢查，發現該網站洩漏了一些敏感的法律和財務數據。

他向媒體《Ars Technica》提供了這個消息，他創建了一個假賬戶來測試平台的穩定性及其安全性。在打開Google Chrome瀏覽器中的開發者工具進一步探索之後不久，他發現了一些令人震驚的細節：交易者發現他從瀏覽器發送到Dx.Exchange的請求，包括有關用戶的個人詳細資訊。

據稱，這位匿名人士表示瀏覽器上發送的資訊還包含了密碼重置的連結、以及其他用戶的代幣交易資訊。該代幣使用稱為JSON Web的通證開放標准進行格式化，這讓那些「具備足夠知識」的人，可以輕鬆獲取用戶的電子郵件地址和代幣所有者全名。

「我在30分鐘內收集了大約100個用戶通證。如果檢察官想將此行為定為刑事犯罪是完全合理的。」

如果用戶尚未登出，交易者基本上可以訪問任何受影響的帳戶，並從這些通證中得到平台所洩露用戶資訊。經過進一步研究後，這名交易員即使在登出後也可以保持對帳戶的訪問權限。

雖然這個發現已經足夠嚴重，但這名匿名人士在Dx.Exchange平台上發現了更多的安全問題。這樣的資料洩漏危及整個系統，因為甚至是屬於公司員工的通證數據也是可訪問的。

如果黑客能夠進入員工的管理帳戶，這會發生災難性的危機。這位匿名人士說道：

「我們可以從帳戶資料的電子郵件地址看到它是來自@coins.exchange。我非常有信心，我可以在一天內完成這項任務並獲得一個管理的通證，並擁有一切掌控權。」

在這名交易員向Dx.Exchange通報了這些問題，Dx.Exchange表示將在在24小時內安排維護更新來「執行多個錯誤修復和更新」。

「我們在收到來自Ars Technical 的專業反饋後，平台的漏洞立即被識別並控制。 DX目前處於「軟啟動（Soft Launch）階段，我們得到了全世界新聞媒體的一些意想不到的大量關注。由於大家對平台的高度興趣和大量註冊，我們發現了一些錯誤。我們有信心能夠解決所有問題，並在最短的時間內完成我們的發布。」該交易所Dx.Exchange表示道。

「我們計劃在上午11點（愛沙尼亞時區）進行維護更新，以提高我們的平台功能並執行幾個錯誤修正和更新。平台將在幾分鐘後恢復正常功能。感謝您的耐心等待。」