黑客思维之比特币之殇

犹太人说：人类一思考，上帝就发笑
在黑客的眼中，难道漏洞就仅仅只是常规漏洞吗？
今天小编就带大家了解时间跟人性的的点滴

对于比特币，一边是疾风骤雨，山呼海啸；一边是风和日丽，朗朗乾坤。让我们在不断的走走停停中去思考，让我们在不断的尝试中去进步，让我们一起去思考未来的安全的雏型。关注“杂术馆”，让我们一起走向未来。。。

来首先我们看看国外最大的比特币交易网站localbitcoin.com的交易流程：

在LocalBitcoins.com 您和真人进行交易。 和中央式的比特币交易所不同，您直接和另一个交易者进行交易。 这使得整个交易过程快速有效，因为中间不牵涉任何公司。您直接得到您的比特币。 同时，LocalBitcoins.com 可以支持各种不同的付款方式。 对每一笔交易，LocalBitcoins.com 提供托管或转账服务，保护买卖双方。
下面我们总结出交易的流程如下：

卖家挂单出售比特币----》买家下单---〉
买家打款给卖家---》在网站上传打款证据---〉
确认已支付款项---》卖家确认收款---〉
卖家放行比特币---》交易完成

网站设计的流程看起来很完美，当然网站的安全也做的相当安全，不会给黑客任何的机会。难道这样真的就安全了吗？
今天我们就来讲讲比特币交易中的一些黑客思维—-时间的用法：
1 在我们对网站充分的了解之后，发现网站处理异议的时间为16个小时，我们在测试过程中需要做以下相关的准备：

1〉 卖家数据获取（主要获取比特币
    价格偏高，并且长期不在线的卖家）
2〉 买家下单，并使用ps伪造证据，确认已付款
3〉 发起一次投诉，以及创建异议工单
4〉 等待时间
5〉 得到比特币

2 比特币的时间属性，作为一种虚拟的加密数字货币，它有着时时的价格波动。在此基础上，我们如何通过一些时间属性来让自己盈利呢：

1〉依然是利用时间，我们在某个时间直接
   下单购买比特币然后确认付款，继续等待时间
2〉如果十个小时以后，比特币涨价我们能够
   有钱赚就再付款，否则就直接取消订单
3〉获取比特币差价

详细实践内容，我们就在此不做介绍了，来讲解一下可能成功的原因：

1 卖家觉得自己的价格高于市场价，
  并对自己充满自信。认为没有几
  个傻瓜来购买他的比特币，并对
  自己邮件不太关注
2 完全是利用了厂外交易比特币的
  时间差，来获取几个小时的差价获利

任何的交易都是具有风险的，大家在交易的过程中得时刻关注安全，以免损失钱财

未来我们在学习安全的过程中，应该更加注重人性，业务逻辑，时间特性等相关漏洞。毕竟随着时间的流逝，各种waf的崛起，传统意义上的漏洞会越来越难做，但是相反未来逻辑，思维漏洞必将崛起，成为网络安全的痛点。关注“杂术馆”，让我们一起学习一起进步。