区块链安全公司 SlowMist 指出,该公司dent两家加密货币交易所存在严重漏洞,影响其各自平台上的资金安全。
SlowMist 的创始人,化名 Evilcos,对缺乏回应表示沮丧。
“不知名的交易所真的非常不可靠,”他在X上写道。“我们的安全团队在两个交易所发现了严重的漏洞(直接影响基金安全),但我们联系不上任何人,即使公开提及也没有任何回应。”
这些交易所的日交易量巨大,其中一家 24 小时交易量达 37 亿美元,另一家交易量约为 2.4 亿美元 据 Evilcos 称,。
披露尝试遭到拒绝
SlowMist分别于12月16日和17日向塞舌尔注册的 Azbit交易所 和土耳其交易所 ICRYPEX Global 。该公司还声称,已按照负责任披露的标准做法,尝试通过私信和公开帖子联系这两个平台,但未收到任何回复。
ICRYPEX成立于2018年,在两个欧盟国家持有虚拟资产服务提供商许可证,据报道为30多个国家的数百万用户提供服务。
Azbit 于 2019 年底成立,并在塞舌尔运营;然而,今年早些时候, 塞舌尔监管机构 表示,“该公司没有,也从未获得根据 2024 年《虚拟资产服务提供商法》运营的任何授权,它只是根据《国际商业公司法》注册成立的一家国际商业公司(‘IBC’)。”
由于未能建立联系,SlowMist 采取了不同寻常的举措,在问题解决之前公开披露了漏洞发现,这有点令人担忧,尽管人们可能会认为相关的交易所已经在着手解决这些问题。
然而,公开表态或承认 SlowMist 的调查结果,对于安抚他们的客户大有帮助。
行业普遍存在的安全问题
此次dent 发生之际,加密货币领域正面临持续不断的安全挑战。SlowMist 发布的 2024 年年度安全报告记录了 410 起安全dent,造成的损失超过 20.13 亿美元。
网络安全公司 CertiK 分享称,加密货币交易所在 2025 年 11 月损失超过 2900 万美元,在各类损失排名中位列第二,仅次于去中心化金融 (DeFi)。
最佳实践建议加密货币开发者建立联系点,用于报告安全问题,包括用于安全通信的长期公钥。
交易所会主动联系吗?
SlowMist 寻求帮助却未得到任何回应的经历虽然并非个例,但也表明即使是拥有相当用户群的成熟交流平台,也可能缺乏接收关键安全情报的足够渠道。
这也引发了人们对加密货币交易所能否迅速应对漏洞披露的质疑。
SlowMist 曾与 Binance、OKX、HTX 和 Crypto.com 等主要交易所合作,这为其安全评估增添了可信度,并弥补了他们发现的漏洞。
上个月, Cryptopolitan 报道称 ,SlowMist 公司牵头进行了一项调查,发现了 NOFX AI 中的漏洞。NOFX AI 是一个基于 DeepSeek 和 Qwen 的大型语言模型架构构建的开源加密货币期货交易系统。SlowMist 还分享了解决该问题的建议。
行业负责任披露指南通常建议受影响方在首次联系后的两个工作日内作出回应。如果多次尝试后仍未收到回应,安全研究人员通常会公开披露此事,以确保透明度,尤其是在涉及资金的情况下。
截至本文发布时,ICRYPEX 和 Azbit 均未对安全通知作出回应,也未就漏洞发表公开声明。
