数字货币交易所TOP10安全风险,你了解多少个?
TOP10
CSAGCR区块链安全工作组交易所安全小组对于过去几年交易所发生的安全事件进行了分析,按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。
1?高级长期威胁
风险描述
高级长期威胁,又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞,并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会,再利用0day漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore和Lazarus。
央行金融研究所所长周诚君:数字货币可能可以在人民币清结算基础设施方面提供一些成本优势:在6月22日的财新夏季峰会“金融科技的新挑战”专题讨论环节中,嘉宾们围绕数字货币、小微企业信贷、银行数字化转型、互联网金融监管等热点话题进行了讨论。央行金融研究所所长周诚君主要围绕数字货币在跨境中的用途和局限性进行了分享。他指出,数字货币只是货币形态,并不能解决不同国家之间的法律差异和信息不对称问题,在KYC(了解你的客户)层面不能超越拥有众多分支机构、了解在地法律和客户的国际商业银行,除非有一个超越主权国家货币的全球性通用数字货币,否则也不能解决国家宏观层面的偿付能力风险和汇率转换的风险敞口问题。因此,基于目前的管理框架和机制,目前还看不到数字货币可以有效解决跨境投融资、商品贸易中的难点和痛点,可以持开放性态度,需要进一步的研究。
而对于中国发行数字货币有利于促进人民币国际化的看法,周诚君表示,数字货币可能可以在人民币清结算基础设施方面提供一些成本优势,但是人民币国际化主要还是取决于人民币的可使用自由使用程度,以及人民币在国际投资贸易当中被广泛接受的程度,更大程度上是取决于央行货币当局对货币跨境流动的监管,取决于反恐、反、反恐怖融资的规定以及宏观审慎管理,防止外部脆弱性等,数字货币并不能在根本上解决这一问题。(财新)[2020/6/22]
2?分布式拒绝服务
韩国银行公布中长期发展战略 积极从事数字货币研究和准备工作:6月9日,韩国央行公布其中长期发展战略《BOK2030》。战略提到,韩国央行正在提升其研究能力,以应对迅速变化的全球经济及金融环境,并且正积极从事数字货币的研究和准备工作。与此同时,韩国央行已引入央行数字货币(CBDC)相关的技术和法律要求,并对其进行积极研究;主要研究内容还包括新的国际贸易秩序对韩国经济的影响,金融创新及数字创新的影响。此外,韩国央行还将建立一个数字创新室,以领导数字数据集成开发等研究。该数字创新室还将支持用AI、大数据和区块链来大力推动具有挑战性的研究工作发展。(韩联社)[2020/6/9]
风险描述
分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。
声音 | FSB主席:监管机构需加快制定数字货币规则:金融稳定委员会(FSB)主席Randal Quarles周三表示,全球金融监管机构有可能因数字支付行业的快速创新而落伍,因此需要更加迅速地制定数字货币或“稳定币”规则。同时担任美联储理事会成员的Quarles称,一个工作组正在研究应对稳定币风险和收益的政策。此外,可能的监管回应将在4月份进行公众咨询。(路透社)[2020/2/20]
3?内鬼监守自盗
风险描述
交易所内部人员利用公司内部安全流程的漏洞,监守自盗;或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。
4?API安全风险问题
风险描述
交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好,黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下:
公告 | 亚联发展:公司目前未从事数字货币的相关研发:亚联发展发布公告称,公司关注到部分投资者关注度较高的股票社区提及公司进行数字货币的研发,公司已就相关问题进行回复,公司目前未从事数字货币的相关研发。[2019/9/24]
没有身份验证的API
API必须有身份验证和授权机制。符合行业标准的身份验证和授权机制以及传输层安全性至关重要。
代码注入
这种威胁有多种形式,但最典型的是SQL,RegEx和XML注入。在设计API时应了解这些威胁并为避免这些威胁而做出了努力,部署API后应进行持续的监控,以确认没有对生产环境造成任何漏洞。
未加密的数据
仅仅依靠HTTPS或者TLS对于API的数据参数进行加密可能不够。对于个人隐私数据和资金有关的数据,有必要增加其他在应用层面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。
阿联酋央行正在与沙特合作开发数字货币:据了解,阿联酋央行正与沙特央行合作开发基于区块链技术的数字货币,用于两国跨境交易。[2017/12/13]
URI中的数据
如果API密钥作为URI的一部分进行传输,则可能会受到黑客攻击。当URI详细信息出现在浏览器或系统日志中时,攻击者可能会访问包括API密钥和用户的敏感数据。最佳实践是将API密钥作为消息授权标头发送,因为这样做可以避免网关进行日志记录。
APIToken和APISecret没有保护好
如果黑客能够获得客户甚至超级用户的APIToken和APISecret,资金的安全就成为问题。
没有对于API的使用进行有效的检测,黑客可能利用API进行多账户、多笔的转账。API的实时安全检测如果不能判断这种攻击,就会有损失。
5?假充值问题
风险描述
假充值是指链上逻辑错误或交易所链上链下对接的时候,对交易的检验不够严谨导致的错误入账的问题
6?交易所热钱包存储过多资金,成为黑客目标
风险描述
交易所热钱包存储过多资金,成为黑客目标,这个风险与交易所热钱包有关的IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击:
恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击,借此收集用户的登陆凭据。
数据库被攻击导致私钥泄露。交易所数据库中存放其热钱包私钥,黑客对数据库进行攻击,获取到数据库数据后通过数据库存放的私钥进行转账。
IT系统漏洞。交易所自身系统存在漏洞,黑客通过其自由漏洞获取IT系统控制权后,直接通过IT系统进行转账。
员工监守自盗。前雇员在离职后通过在职时留下的后门进行资产转移。
7?51%攻击
风险描述
51%攻击,又被称为Majorityattack。这种攻击是通过控制网络算力实现双花。如果攻击者控制了网络中50%以上的算力,那么在他控制算力的这段时间,他可以将区块逆转,进行反向交易,实现双花。对同一笔交易进行双重花费甚至回滚以往的历史交易。
8?不安全的文件处理
风险描述
这种风险与文件的不安全处理有关系。包括下载外部电子邮件的链接或者附件,也就是传统意义上的钓鱼攻击;也包括对于交易所用户上载的KYC文件没有经过安全处理。恶意代码隐藏图像中,这种方式也称呼为隐写术(Steganography),攻击者将恶意代码与指令隐藏在看似无害的图像之中伺机执行,这种风险与APT风险有一定的关系。一般来说,单单一封邮件无法对你实施攻击,一定要以邮件为基础,在此之上产生别的交互才可以,比如说点击链接后输入内容,运行/打开文件,当需要以上动作时,便存在风险。
9?DNS域名劫持?
风险描述
DNS服务是互联网的基础服务,在DNS查询中,需要有多个服务器之间交互,所有的交互的过程依赖于服务器得到正确的信息,在这个过程中可能导致访问需求被劫持。
劫持访问需求有多种方式:
利用路由协议漏洞,在网络上进行DNS域名劫持。如BGP协议漏洞,将受害者的流量截获,并返回错误的DNS地址和证书。
劫持者控制域名的一台或多台权威服务器,并返回错误信息。
递归服务器缓存投,将大量有数据注入递归服务器,导致域名对应信息被篡改。
入侵域名注册系统,篡改域名数据,误导用户的访问。
上述的攻击行为都会将用户的访问重定向至劫持者控制的一个地址。使用一个假冒的证书让不明真相的用户登陆,如果用户无视浏览器的证书无效风险警告,继续开始交易,就会导致钱包里的资金被盗。
10?第三方安全
风险描述
使用第三方服务的时候:
因为交易所使用第三方服务自行配置错误导致被黑;
因为第三方服务自身漏洞导致交易所被黑;
因为第三方服务被利用来钓鱼投投马导致交易所被黑;
因为第三方服务被黑导致交易所被黑。
邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦
陈大宏、赵勇
链闻消息,Snapchat前软件工程师和产品设计师JohnPalmer在内容众筹平台Mirror上发起首次内容众筹活动.
1900/1/1 0:00:00金色财经报道,1月29日消息,据特拉华州官网显示,灰度新注册UNI信托基金,文件编号为4887456,这是继为AAVE、ADA、ATOM、EOS、XMR以及DOT之外灰度近期注册的第七个新的信托基金.
1900/1/1 0:00:00尊敬的LBank用户: LBank现公示从01月26日17:00至01月27日17:00交易量排名前三的中奖名单,具体情况如下:*为保证活动公平,LBank严禁刷单、对敲等作弊行为.
1900/1/1 0:00:00各位关注TokenEco的朋友大家好,本期双周报为第33期,为广大生态共建者汇报一下近两周TokenEco的项目进展情况.
1900/1/1 0:00:00?很多人并没有真正理解顺势而为,老是想着每个新高就是顶部。这和熊市当中经常有人把新低当成底部是一个道理。我们可以在财经网站里将几个月甚至几年前的贴子翻出来看,无论大盘到多少点,总有人说这是个顶部,那是个底部.
1900/1/1 0:00:00比特币价格昨日晚间多次上行试探32000位置后,日内凌晨走出破位价格最高触及33749位置后小幅回落,目前价格运行于33333附近.
1900/1/1 0:00:00