知道创宇安全顾问张亮：交易所安全大起底

文章来源|100BLOCK文章作者?|?张阿梅

张亮，拥有多年信息安全领域从业经验，专注网络安全、互联网安全、云安全、区块链安全领域，深挖各行业的安全场景，致力于提供最优的解决方案帮助用户解决严峻的安全隐患。曾为国家开发投资集团有限公司、中国科协、教育部、文化部、北京比特大陆科技有限公司、北京火币天下网络技术有限公司等各行业客户提供安全解决方案，具备丰富的项目实战经验。

问题一：开门见山，请问张总交易所常见的安全风险都有哪些？

张亮：第一类风险为可用性风险。攻击者通过DDoS攻击、CC攻击、跨站脚本攻击等方式，降低数字货币交易平台的可用性，使平台在一定时间内无法向用户提供数字货币交易服务，从而影响数字货币交易平台的正常运营。

其次为黑客入侵风险：攻击者通过漏洞利用、端口扫描等手段，探测平台安全隐患，寻找入侵机会，窃取账户信息、数字货币等，直接造成用户利益受损。

智能合约风险：智能合约一经发布，所有人可见，并且无法修改，所以已发布的智能合约一旦发现了重大安全漏洞，将严重影响整个项目，甚至导致项目失败。

Steve Hanke：我们知道比特币的价格，但不知道它的价值:金色财经报道，里根政府时期的前经济顾问Steve Hanke在接受采访时谈到加密货币获取价值的难度，他表示，从理论角度来看，最终会得到一个有价格的比特币，这是客观的，我们知道它是什么，但我们不知道它的基本价值，我猜它可能为零。”这位经济学教授质疑，在决定比特币与本国货币（例如美元 的汇率时，如何推导出比特币的价值，并补充说，没有汇率模型可以真正合理化比特币的汇率。比特币/美元汇率。

当使用另一个基本模型来推导货币价值时，这是类似的，利率平价。Hanke 表示，没有办法合理化比特币和可识别的全球货币之间的利率平价，用于评估汇率的两种基本模型在比特币领域根本没有任何意义。（雅虎财经）[2021/12/26 8:04:29]

薅羊毛风险：在推广阶段攻击者及黑产通过「猫池」、「接码平台」批量的注册账号，并利用这些账号在应用平台或项目方的各个渠道中「抢糖果」使应用平台及项目方用于推广获客的资金「打水漂」。智能合约的安全漏洞，一旦可以超发，大金额流通也会蒸发，这个时候需要及时的锁仓、停止交易，并通过代币兑换的方式上线新合约，对已发的token进行替换，止损。

亿万富翁Peter Thiel：我可能知道中本聪在哪:金色财经报道，PayPal联合创始人、亿万富翁风险投资家PeterThiel周三披露，他可能知道去哪里寻找比特币的神秘创始人中本聪，甚至可能在多年前遇到过中本聪本人，只是当时并没有意识到。PeterThiel的这一猜测源于二十一年前他与E-Gold的创始人们的会面，E-Gold是一种创立于1996年的私人数字货币，在2007年4月被美国司法部起诉后，现已被取缔。Thiel说，2000年2月，他在加勒比海安圭拉岛的海滩上遇到了他们。当时，他们讨论了如何让PayPal与E-Gold实现互操作，以“摧毁所有央行”。蒂尔是PayPal的联合创始人。他表示：“我对中本聪身份的推测是，中本聪当时就在安圭拉的海滩上。”事实上，他认为中本聪可能是当时在海滩上的大约200人之一。他还称，中本聪可能从E-Gold的错误中吸取了教训，因为他在名为《比特币：点对点电子现金系统》的论文列出了比特币的使用案例。中本聪可能是一个人，也可能是一群人。他在2008年万圣节前后发表了最后一篇论文《比特币：点对点电子现金系统》，概述了加密安全、去中心化的点对点数字支付系统的原理。在那之后，就再也没有了中本聪的消息。Thiel说：“比特币是E-Gold的答案，中本聪认识到，你必须匿名，你必须没有公司。即使是一家公司，哪怕是一种公司形式，也与政府联系太紧密了。”但这位亿万富翁澄清道，他并没有花太多精力去查明比特币创始人的真实身份，这与加密货币领域的一些人所做的相反。（新浪美股）[2021/10/22 20:48:52]

钓鱼网站安全风险：恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码，并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币，利用数字货币交易平台的价格差甚至数字货币期货套现，非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁，一旦访问到钓鱼网站受，往往会在舆论上对正常的应用平台进行谴责，对应用平台的良好信誉带来巨大的损失。

声音 | 日本bitFlyer交易所社长：天皇知道比特币并对区块链有兴趣:日本加密货币交易所bitFlyer社长加纳裕三发推特表示，日本现太上皇表示知道比特币，并对区块链有兴趣。他表示：“感谢获得如此重要的机会，有幸面见天皇，天皇陛下表示自己知道比特币，并在听（我）说到区块链技术时非常有兴趣，这真是此生最好的回忆。”[2019/5/4]

内网安全风险：由于区块链行业的快速发展，项目方均在同时间赛跑，务求用最短的时间让公链、平台、项目上线运营，从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。

根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计，在GitHub、GitLab、CSDN等国际知名的开发者网站及平台上，大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况，攻击者可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序，并潜伏，等待时机发起「致命一击」。

问题二：那针对以上安全风险，交易所可以采取哪些措施进行有效应对？

张亮：首先针对可用性风险，交易所可以使用云抗D服务进行应对，有效防御DDos攻击、CC攻击。针对黑客入侵，可以采取主动漏洞挖掘和web应用层攻击防护的方式进行防御。云WAF可以防御包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击，有效防御黑客入侵。

声音 | Joseph Young：不知道到今年年底BTC值多少钱:加密货币分析师Joseph Young发推称：在开始出现预测2019年底的BTC价格之前，这不是一个牛市。别问我, 我不知道到今年年底BTC值多少钱。如果我知道我已经是亿万富翁了。[2019/1/6]

采用第三方安全公司的渗透测试服务可以先于黑客找到自身存在的漏洞，及时整改加固，增强自身安全性。智能合约问题同样可以采购第三方安全公司的智能合约审计服务，对智能合约源码中的隐私泄漏、交易溢出与异常、代币转入转出风险、合约故障、拒绝服务等问题进行深度源码审计，在项目上线前尽可能多的暴露和解决问题，确保项目顺利执行。

针对羊毛党可以采购反欺诈服务，通过风控模型能够准确识别羊毛号、黑产小号等，降低黑产通过该种手段造成的刷糖果币、抢优惠、奖励的行为，使交易所和项目真正达到宣传、推广的效果。

针对内网安全问题在可以在办公环境内部署多个即插即用的「诱终端」，部署到不同的业务网络中，终端之间相互通信，达到高度伪装。利用「敏感信息」诱导黑客攻击，记录攻击过程，并通过微信、邮件等方式发出预警。

知道创宇404区块链安全研究团队发布预警 某虚拟货币正发生盗币事件:近日知道创宇 404 区块链安全研究团队通过网络空间搜索引擎 ZoomEye 发现有近两千个某著名区块链货币节点管理接口暴露在互联网上，问题严重的是，这些暴露的节点管理接口不需要任何登陆密码即可访问登陆。知道创宇 404 区块链安全研究团队通过测试发现，通过更改管理接口，将造成节点 SDK 地址等重要信息泄露，而这些 SDK 地址同样无需密码登陆即可访问，更为严重的是通过这些节点管理接口，可以恶意提交目的为任意地址的转账交易，实现盗币行为！知道创宇 404 区块链安全研究小组进一步跟进并通过部署对应蜜罐发现，已有恶意攻击者通过这些暴露的节点管理接口盗取该虚拟货币，相关平台应尽快自查节点安全，辨识钱包地址是否被篡改，知道创宇 404 区块链安全研究团队将持续跟进此次盗币事件。[2018/5/14]

群友哈迪斯：不通过安全审计，通过代币激励内测邀请安全人士共同反馈问题，这种手段有效吗？

张亮：激励的尺度大小直接影响了参与测试的人员技术水平，进而会影响测试质量。

问题三：刚刚看您提到云防火墙，交易所在选择云服务厂家时，应该注重哪些点？

张亮不仅仅是云WAF，还有云抗D，在选择厂商时我建议关注以下几点：首先服务商要有交易所行业案例；其次，尽量选择知名度高、市场占有率高、产品和服务相对成熟的厂商。针对抗DDos攻击，要选择带宽储备充足、抗CC攻击能力突出的服务商，最后要选择注重服务的厂商，应急响应一定要及时。出现攻击及时对接，不走工单。

问题四：交易所渗透测试的流程是什么样的？测试内容都有哪些？

张亮：知道创宇在做渗透测试的时候首先会收集交易所的信息，包括域名，交易所业务情况、后台管理系统、钱包信息等；其次，开展渗透测试，对交易所网站、后台管理系统、APP以及承载相关业务的基础环境进行渗透测试；最后是编写报告并交付。

从测试重点角度，交易所渗透测试一方面是检测是否存在安全漏洞，更重要的是检测交易所及钱包的越权操作、信息泄露的问题，避免出现用户信息泄露、异常操作的问题。

**问题五：多次有人提到以太坊的智能合约问题，认为其灵活性带来了巨大安全漏洞？您是怎么看待的？

张亮：以太坊智能合约的灵活性带来了很大的安全问题，但不能否定它的可用性，就像微软系统一样，也存在很多的漏洞，我们不也一样在使用么，每个系统都不是完美的，都会存在缺陷，所以我们在使用的时候就要尽量的通过技术手段规避这些漏洞，尽可能的做到安全，这也是为什么我们设计好智能合约以后，还要找专业的安全机构做审计的原因。

问题六：如果不做智能合约审计对交易所有什么影响？

张亮：如果智能合约未经审计直接上线交易所，智能合约中如果存在重大安全隐患，一旦爆发，将导致项目直接失败，对交易所的声誉造成巨大影响，由于项目失败也必将对交易所中该代币进行冻结、下线等一系列相关措施，影响交易所的正常运转。

问题七：智能合约审计都涵盖了哪些内容？整个审计周期大概是多久？

张亮：知道创宇的智能合约审计服务包括了重入漏洞、访问控制、整数溢出、未检查返回值调用、拒绝服务、错误使用随机数、事物顺序依赖性、时间戳依赖、短地址攻击等内容。审计周期在1到3天，如果紧急可以做加急处理。

群友哈迪斯：张总这边流程完善，经验丰富，我比较好奇之前有成功预防过什么典例型漏洞？怎么快速解决的？

张亮：我们的一些智能合约审计项目确实发现过一些问题，在报告中会给出我们的整改建议，协助进行整改。

问题八：用户合约审计只想针对整数溢出问题进行审计，这样审计行不行，对价格有没有影响？

张亮：智能合约审计，不管做哪个检查，都是要把所有合约代码审一遍，所以仅检查一项，和检查所有项，价格几乎一样。知道创宇要出智能合约审计报告就需要针对每一项都进行检测，也是对上币方负责。

问题九：已经发布的智能合约可以做审计吗？

张亮：智能合约具有不可逆的特性，一旦上线不易修改，上线后的智能合约可以通过审计服务，检测是否存在安全隐患，如果存在，需要及时进行下线或者应急处置。已经发布的智能合约可以做审计，现在很多大的交易所都在对之前上币没有做过审计的上币项目做复审。

**问题十：我们都知道在线钱包被盗事件很多，那么在线钱包怎么保证安全？

张亮：在线钱包基本都是通过网页的形式来进行访问，主要威胁有跨站脚本攻击，账号被暴力破解和利用，以及交易记录和余额信息不被篡改；这些问题是可以用知道创宇的Web应用级防火墙做安全防护，通过渗透测试做主动漏洞挖掘。主动挖掘漏洞和被动防御相结合，防护效果更好。

问题十一：如果钱包地址暴露在公网，有什么风险？

张亮：钱包地址暴露在公网后，所有人均可以通过查询searchain.io，就可以知道钱包内有多少token，价值多少钱，历史转账信息，通过哪个交易所开过户等用户隐私信息。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

链闻看天下

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626961.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

黑客大军「撞库」攻击交易所，是谁泄露了用户数据？

下一篇：

以太坊技术|Solidity函数修改器以及异常处理

标签：比特币区块链数字货币GOLD比特币交易手续费怎么算区块链域名价格排行数字货币买进卖出局EGOLD币

ICP热门资讯