ELLIPAL Vulnerability Study by Towo Labs - ELLIPAL

ELLIPAL-Schwachstellenstudie von Towo Labs

Im August 2020 wurde ELLIPAL von Towo Labs bezüglich Schwachstellen kontaktiert, die auf der Website von ELLIPAL (www.ellipal.com) und in der XRP-Anwendung des ELLIPAL-Wallets gefunden wurden. ELLIPAL hatte sich mit dem Problem befasst, es entsprechend behoben und Towo Labs mit einem Kopfgeld belohnt. Wir möchten Towo Labs dafür danken, dass sie die Krypto-Community sicher halten und uns ermöglichen, die Sicherheit unserer Wallet noch weiter zu verbessern.

Dank Towo Labs wurden sowohl auf der ELLIPAL-Website als auch in der XRP-Anwendung von ELLIPAL Schwachstellen gefunden. ELLIPAL hat die Schwachstellen entsprechend behoben, um die Sicherheit jedes Nutzers zu gewährleisten.

 

1) Sicherheitslücke der ELLIPAL-Website

Sicherheitslücke

ELLIPALs Antwort

Im Schwachstellen-Einreichungsformular und der benutzerdefinierten DIY-ELLIPAL-Einreichung von können Benutzer eine Vielzahl von Dateien hochladen, die stattdessen verboten werden sollten.

 

Wir haben das Problem behoben und erlauben jetzt nur noch begrenzte Dateitypen, die hochgeladen werden können.

 

An einem bestimmten Endpunkt wurde eine Cross-Site-Scripting-Schwachstelle erkannt.

 

Dieser Endpunkt wurde jetzt entfernt.

 

An einigen Endpunkten wurde eine Sicherheitslücke durch Host-Header-Injektion gefunden.

 

Problem an diesen wenigen Endpunkten behoben.

 

Offene Sicherheitslücke bei Umleitung und Linkmanipulation an einigen Endpunkten.

 

Problem an diesen wenigen Endpunkten behoben.

 

Die alternative Website-URL von ELLIPAL leitet nicht automatisch von HTTP zu HTTPS weiter und enthält keinen Sicherheitsheader in der HTTPS-Version.

 

Jetzt wird der gesamte HTTP-Zugriff auf HTTPS umgeleitet. Die Zusammenfassung des Sicherheitsberichts erhält nun die Bewertung „A“.

 

 

2) Schwachstelle der XRP-Anwendung des ELLIPAL Wallet

Sicherheitslücke

ELLIPALs Antwort

Das ELLIPAL-Wallet analysiert und zeigt das DestinationTag-Feld für Zahlungstransaktionen nicht an, sodass Angreifer einen beliebigen DestinationTag eingeben und das Ziel des XRP ändern können.

 

DestinationTag-Feld für XRP wurde jetzt hinzugefügt und in Version v2 veröffentlicht.81

 

Das ELLIPAL-Wallet analysiert und zeigt die Felder SendMax, DeliverMin oder Flags für Zahlungstransaktionen nicht an, was es Angreifern ermöglicht, erweiterte Zahlungsflags und den Kontrollpfad des Angreifers zu setzen und indirekt den gesamten gesendeten Betrag zu stehlen.

 

Dies wurde in Version v behoben.281 Bei Kaltwallet können Benutzer vor der Unterzeichnung immer die Überweisungsinformationen überprüfen, einschließlich des Ziel-Tag-Felds, und es kommt nicht zu Geldverlusten.

 

Das ELLIPAL-Wallet blockiert nicht nicht unterstützte Transaktionstypen. Dies ermöglicht es einem Angreifer, einen festgelegten regulären Schlüssel oder eine festgelegte Unterzeichnerlistentransaktion zu senden, was zu einer Schwachstelle bei der Kontoübernahme führt.

 

Dies wurde in Version v behoben.281 Bei Kaltwallet können Benutzer vor der Unterzeichnung immer die Überweisungsinformationen überprüfen, einschließlich des Ziel-Tag-Felds, und es kommt nicht zu Geldverlusten.

 

Das ELLIPAL-Wallet überprüft den Kontowert im Transaktions-Blob nicht. Dies ermöglicht es einem Angreifer, das sendende Konto zu fälschen, was zu einer Schwachstelle wegen Kontomissbrauchs für jedes Konto mit einem regulären Schlüsselsatz führt.

 

Dies wurde in Version v behoben.281 Bei Kaltwallet können Benutzer vor der Unterzeichnung immer die Überweisungsinformationen überprüfen, einschließlich des Ziel-Tag-Felds, und es kommt nicht zu Geldverlusten.

 

Da das Ellipal-Wallet nicht unterstützte Transaktionstypen nicht blockiert und das Gebührenfeld nicht anzeigt, kann ein Angreifer beispielsweise eine EscrowCreate-Transaktion senden oder eine extrem hohe Gebühr angeben, wodurch die XRP verloren gehen.

 

Dies wurde in Version v behoben.281 Bei Kaltwallet können Benutzer vor der Unterzeichnung immer die Überweisungsinformationen überprüfen, einschließlich des Ziel-Tag-Felds, und es kommt nicht zu Geldverlusten.

 

 

 Besonderer Dank geht an Mr.Markus Alvila Mitbegründer und CEO von Towo Labs (@RareData)

Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachte, dass Kommentare vor der Veröffentlichung freigegeben werden müssen.