前几日,Odaily 星球日报报道过可以用币买 token 股票的交易所 Dx. Exchange,该交易所宣称由纳斯达克提供技术支持,允许用户交易包括苹果、脸书和特斯拉在内的公司股票。但是,这项服务刚上线没多久,一位不具姓名的交易员向外媒 Ars Technica 称,Dx.Exchange 存在安全漏洞,这些漏洞若被不法分子利用,则会对平台用户造成损失。

该交易员表示,自己创建了一个马甲账户来测试 Dx.Exchange 平台的安全性和稳定性。但是当他用 Google Chrome 浏览器的开发工具测试后,惊讶的发现自己从浏览器发送到 Dx.Exchange 的请求,包含认证后的令牌(token)和访问用户的详细信息。比如密码重置的链接。这些令牌通过 JSON Web Token(跨域认证解决方案)这一开放标准进行格式化,但是对于精通于此的人来说,完全可以轻松获得用户的电子邮件地址和令牌所有者的全名。

该交易员还表示,

自己在 30 分钟内就收集了大约 100 个令牌。如果检察官想据此给我定罪,是完全合理的。

交易员称如果这些用户一直处于登陆状态,那么他就可以访问这些账户,并从这些令牌中获得平台所泄露的用户信息。而且即便这些用户不在线了,交易员也可有对这些帐户的访问权限。

Dx.Exchange 的安全问题不止于此,这位交易员还表示,Dx.Exchange 平台上的员工账户的令牌数据也是可以访问的。如果黑客能够进入员工的管理帐户,那么将会发生灾难。

在这名交易员向 Dx.Exchange 通报了这些问题,Dx.Exchange 表示将对这些错误进行修正和更新,修补漏洞。

除了这次被曝出的安全问题, Dx.Exchange 还受到业内人士对其合法合规方面的质疑。据 CNBC 报道,Securrency 的联合创始人 Dan Doney 对 Dx.Exchange 的做法表示不确定甚至怀疑态度,因为在没有经过这些上市公司股东的同意下,就在自家平台上线这些公司的代币化股票是不可行的。不过,Dan Doney 还表示,如果这个模型能够执行得当,是可以符合监管标准的

将区块链技术应用到股票中,将股票代币化的还有美国的注册经纪交易商 SharesPost,其与 Blockchain Capital 发行的 BCAP 股票代币签署了第一笔二级交易。SharesPost 没有披露交易规模,但表示,这次只是一个小型交易,作为一个试点项目。

主要参考资料:

Hot new trading site leaked oodles of user data, including login tokens

Apple and Tesla shares on the blockchain could be the next big thing in crypto

Dx.Exchange Has Serious Security Weaknesses that Could be Easily Criminalized

下周,你可以用币买苹果的token股票了

JSON Web Token 入门教程