In augustus 2020 werd ELLIPAL gecontacteerd door Towo Labs over kwetsbaarheden gevonden in de website van ELLIPAL (www.ellipal.com) en de XRP-applicatie van ELLIPAL portemonnee. ELLIPAL had het probleem aangepakt en dienovereenkomstig opgelost en Towo Labs beloond met een premie. We willen Towo Labs bedanken voor het veilig houden van de cryptogemeenschap en ons in staat stellen de beveiliging van onze portemonnee nog verder te verbeteren.
Dankzij Towo Labs zijn er kwetsbaarheden gevonden in zowel de ELLIPAL-website als de XRP-applicatie van ELLIPAL. ELLIPAL heeft daarom de kwetsbaarheden verholpen om de veiligheid van elke gebruiker te garanderen.
1) Kwetsbaarheid van de ELLIPAL-website
|
Kwetsbaarheid |
ELLIPAL’s reactie |
|
In het formulier voor het indienen van kwetsbaarheden en de aangepaste DIY ELLIPAL-inzending van kunnen gebruikers een breed scala aan bestanden uploaden die in plaats daarvan verboden zouden moeten worden.
|
We hebben dit opgelost en staan nu slechts een beperkt aantal typen bestanden toe die kunnen worden geüpload.
|
|
Er is een kwetsbaarheid in cross-site scripting gedetecteerd op een bepaald eindpunt.
|
Dit eindpunt is nu verwijderd.
|
|
Kwetsbaarheid voor het injecteren van hostheaders gevonden op een aantal eindpunten.
|
Probleem opgelost op deze paar eindpunten.
|
|
Kwetsbaarheid voor open omleiding en linkmanipulatie op enkele eindpunten.
|
Probleem opgelost op deze paar eindpunten.
|
|
De alternatieve website-URL van ELLIPAL leidt niet automatisch door naar HTTPS vanaf HTTP en bevat geen beveiligingsheader op de HTTPS-versie.
|
Nu wordt alle HTTP-toegang omgeleid naar HTTPS. Nu geeft de samenvatting van het beveiligingsrapport een “A”-beoordeling.
|
2) Kwetsbaarheid van XRP-toepassing van de ELLIPAL Wallet
|
Kwetsbaarheid |
ELLIPAL’s reactie |
|
De ELLIPAL-portemonnee parseert en geeft het DestinationTag-veld niet weer voor betalingstransacties, waardoor de aanvaller elke DestinationTag kan invoeren en de bestemming van de XRP kan wijzigen.
|
DestinationTag-veld voor XRP is nu toegevoegd en vrijgegeven op versie v2.81
|
|
De ELLIPAL-portemonnee parseert en geeft de velden SendMax, DeliverMin of Flags voor betalingstransacties niet weer, waardoor de aanvaller geavanceerde betalingsvlaggen kan instellen, het pad van de aanvaller kan controleren en indirect het volledige verzonden bedrag kan stelen.
|
Dit is opgelost in versie v.281 Voor Cold Wallet kunnen gebruikers altijd de overdrachtsinformatie controleren voordat ze ondertekenen, inclusief het veld voor de bestemmingstag, en dit leidt niet tot verlies van geld.
|
|
De ELLIPAL-portemonnee blokkeert geen niet-ondersteunde transactietypen. Hierdoor kan een aanvaller een vaste sleutel of een ingestelde ondertekenaarslijsttransactie verzenden, wat leidt tot een kwetsbaarheid voor accountovername.
|
Dit is opgelost in versie v.281 Voor Cold Wallet kunnen gebruikers altijd de overdrachtsinformatie controleren voordat ze ondertekenen, inclusief het veld voor de bestemmingstag, en dit leidt niet tot verlies van geld.
|
|
De ELLIPAL-portemonnee verifieert de accountwaarde in de transactieblob niet. Hierdoor kan een aanvaller het verzendende account vervalsen, wat leidt tot een kwetsbaarheid voor accountmisbruik voor elk account met een normale sleutelset.
|
Dit is opgelost in versie v.281 Voor Cold Wallet kunnen gebruikers altijd de overdrachtsinformatie controleren voordat ze ondertekenen, inclusief het veld voor de bestemmingstag, en dit leidt niet tot verlies van geld.
|
|
Aangezien de Ellipal-portemonnee niet-ondersteunde transactietypen niet blokkeert en het veld Kosten niet weergeeft, kan een aanvaller bijvoorbeeld een EscrowCreate-transactie verzenden of een extreem hoge vergoeding opgeven om de XRP verloren te laten gaan.
|
Dit is opgelost in versie v.281 Voor Cold Wallet kunnen gebruikers altijd de overdrachtsinformatie controleren voordat ze ondertekenen, inclusief het veld voor de bestemmingstag, en dit leidt niet tot verlies van geld.
|
Speciale dank aan Mr.Markus Alvila Mede-oprichter en CEO van Towo Labs (@RareData)
