安全机构：LocalBitcoins 被黑事件，目前已知5个用户被盗

【链得得播报】链得得（微信号：ChainDD）1月26日讯，关于LocalBitcoins 被黑事件，慢雾安全团队的分析：目前已知 5 个用户被盗（损失 7.95205862 BTC），盗币攻击行为持续 37 分钟，被攻击的是 LocalBitcoins 的论坛(forums)，目前已下线，但主页还在持续提供服务。

慢雾安全团队通过对 LocalBitcoins 站点的安全架构分析，如果被黑事件是真的，初步怀疑是论坛出现 XSS 攻击，被盗币用户的页面触发了恶意 JavaScript 代码，由于论坛与主页在同一个域下，只要这类攻击触发，是可以比较容易盗走 BTC 的。LocalBitcoins 的安全架构上犯了至少两个错误：第一个是：论坛这种高交互性的页面不应该和主页在同一个域下，应该分离出子域名形式；另一个是：主页相关重要功能模块加载了几个第三方 JavaScript 模块，只要任意一个第三方被黑或作恶，LocalBitcoins 也能轻易被黑。