本文原发于:CSDN
CSAGCR区块链安全工作组交易所安全小组对于过去几年交易所发生的安全事件进行了分析,按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。
邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦陈大宏、赵勇
1高级长期威胁
风险描述:高级长期威胁,又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞,并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会,再利用0day漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore和Lazarus。
普华永道:英国在采用数字货币的道路上处于欧洲领先地位:普华永道报告显示,在采用数字货币方面,英国在整个欧洲处于领先地位,在世界上排名第五。普华永道英国区块链和加密专家Haydn Jones评论: “CBDC的出现是货币演变过程中的一个重要里程碑。它真正改变了游戏规则,为公民和企业提供了替代支付解决方案,并彻底改变了金融市场结算和银行间货币交易。公众将是最大的受益者之一,因为他们将首次以数字形式获得央行货币。CBDC作为主权数字货币,有助于推动当前货币体系的现代化,同时帮助缩小与‘无银行群体’之间的差距,从而为进一步的普惠金融努力做出贡献。在央行资产负债表上持有的资产支持下,数字货币还将支持供应链和证券结算,并有可能进入社交媒体平台。” 此前消息,英国央行宣布与财政部联合创建央行数字货币工作组。[2021/4/19 20:36:41]
2分布式拒绝服务
风险描述:分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。
肖钢:数字货币不会对货币发行产生颠覆性的影响:近日,中国证监会原主席肖钢做客《国民财富大讲堂》节目,谈及数字货币对金融生态的影响时表示,数字货币不会对货币发行产生颠覆性的影响。肖钢谈到,目前数字货币已经开始试点。根据人民银行对外宣布的情况,数字货币是由中央银行发行的一种电子现金,主要是取代现金(M0)。也就是说,未来的零售支付,既可以用现金、也可以用数字货币、微信、支付宝等。
肖钢认为,数字货币不会对货币发行产生颠覆性的影响,因为央行发行的是带有主权性质的货币。数字货币并不取代M1、M2,只是用数字货币的形态发行现金,起到方便大家支付的作用。但这可能会带来账户体系的变化。数字货币发行将采取双层结构,不直接对个人发、而是通过商业银行发行。就像现在一样,要到银行去取现。也就是说,数字货币发行是从央行到商业银行,再从商业银行到消费者个人。肖钢表示,此外,数字货币也要遵守现金管理的规定,在取现、携带出境等方面的要求与现金一致,不会因为币的数字化就落入陷阱。(中保网)[2021/3/21 19:04:45]
3内鬼监守自盗
前CFTC主席:央行数字货币不是灵丹妙药:金色财经消息,今日在美国参议院银行、住房和城市事务委员会《货币和支付数字化》听证会上,前美国商品期货委员会主席Chris Giancarlo表示自己不建议把央行数字货币看作是一种灵丹妙药。他认为央行数字货币体系结构并不是对金融普惠性的全面回应,而是应该被看做是一种智能金融解决方案的基础。[2020/7/1]
风险描述:交易所内部人员利用公司内部安全流程的漏洞,监守自盗;或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。
4API安全风险问题
风险描述:交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好,黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下:
没有身份验证的API
API必须有身份验证和授权机制。符合行业标准的身份验证和授权机制以及传输层安全性至关重要。
行情 | 午间数字货币行情播报:根据Bitfinex交易平台数据显示,BTC最新成交价格 7,280.10 美元,最高价达 7,369.00 美元,最低价格 7,200.00 美元,成交量 2.12 万,跌幅 0.19 %;ETH最新成交价格 288.21 美元,最高价达 293.20 美元,最低价格 285.75 美元,成交量 12.49 万,跌幅 0.45 %;EOS最新成交价格 6.45 美元,最高价达 6.62 美元,最低价格 6.37 美元,成交量 437.36 万,跌幅 0.42 %。[2018/9/4]
代码注入
这种威胁有多种形式,但最典型的是SQL,RegEx和XML注入。在设计API时应了解这些威胁并为避免这些威胁而做出了努力,部署API后应进行持续的监控,以确认没有对生产环境造成任何漏洞。
未加密的数据
仅仅依靠HTTPS或者TLS对于API的数据参数进行加密可能不够。对于个人隐私数据和资金有关的数据,有必要增加其他在应用层面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。
行情 | 金色盘面:比特币市值占数字货币总市值占比有所下降:金色盘面分析师表示:据数据显示,比特币市值占数字货币总市值占比有所下降,从48.6%降为48%,市场恐慌情绪有所下降,主流币率先小幅回暖,可持续关注币价波动。[2018/8/4]
URI中的数据
如果API密钥作为URI的一部分进行传输,则可能会受到黑客攻击。当URI详细信息出现在浏览器或系统日志中时,攻击者可能会访问包括API密钥和用户的敏感数据。最佳实践是将API密钥作为消息授权标头发送,因为这样做可以避免网关进行日志记录。
APIToken和APISecret没有保护好
如果黑客能够获得客户甚至超级用户的APIToken和APISecret,资金的安全就成为问题。
没有对于API的使用进行有效的检测,黑客可能利用API进行多账户、多笔的转账。API的实时安全检测如果不能判断这种攻击,就会有损失。
5假充值问题
风险描述:假充值是指链上逻辑错误或交易所链上链下对接的时候,对交易的检验不够严谨导致的错误入账的问题。
6交易所热钱包存储过多资金,成为黑客目标
风险描述:交易所热钱包存储过多资金,成为黑客目标,这个风险与交易所热钱包有关的IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击:
恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击,借此收集用户的登陆凭据。
数据库被攻击导致私钥泄露。交易所数据库中存放其热钱包私钥,黑客对数据库进行攻击,获取到数据库数据后通过数据库存放的私钥进行转账。
IT系统漏洞。交易所自身系统存在漏洞,黑客通过其自由漏洞获取IT系统控制权后,直接通过IT系统进行转账。
员工监守自盗。前雇员在离职后通过在职时留下的后门进行资产转移。
751%攻击
风险描述:51%攻击,又被称为Majorityattack。这种攻击是通过控制网络算力实现双花。如果攻击者控制了网络中50%以上的算力,那么在他控制算力的这段时间,他可以将区块逆转,进行反向交易,实现双花。对同一笔交易进行双重花费甚至回滚以往的历史交易。
8不安全的文件处理
风险描述:这种风险与文件的不安全处理有关系。包括下载外部电子邮件的链接或者附件,也就是传统意义上的钓鱼攻击;也包括对于交易所用户上载的KYC文件没有经过安全处理。恶意代码隐藏图像中,这种方式也称呼为隐写术(Steganography),攻击者将恶意代码与指令隐藏在看似无害的图像之中伺机执行,这种风险与APT风险有一定的关系。一般来说,单单一封邮件无法对你实施攻击,一定要以邮件为基础,在此之上产生别的交互才可以,比如说点击链接后输入内容,运行/打开文件,当需要以上动作时,便存在风险。
9DNS域名劫持
风险描述:DNS服务是互联网的基础服务,在DNS查询中,需要有多个服务器之间交互,所有的交互的过程依赖于服务器得到正确的信息,在这个过程中可能导致访问需求被劫持。
劫持访问需求有多种方式:
利用路由协议漏洞,在网络上进行DNS域名劫持。如BGP协议漏洞,将受害者的流量截获,并返回错误的DNS地址和证书。
劫持者控制域名的一台或多台权威服务器,并返回错误信息。
递归服务器缓存投,将大量有数据注入递归服务器,导致域名对应信息被篡改。
入侵域名注册系统,篡改域名数据,误导用户的访问。
上述的攻击行为都会将用户的访问重定向至劫持者控制的一个地址。使用一个假冒的证书让不明真相的用户登陆,如果用户无视浏览器的证书无效风险警告,继续开始交易,就会导致钱包里的资金被盗。
10第三方安全
风险描述:使用第三方服务的时候:
因为交易所使用第三方服务自行配置错误导致被黑;因为第三方服务自身漏洞导致交易所被黑;因为第三方服务被利用来钓鱼投投马导致交易所被黑;因为第三方服务被黑导致交易所被黑。
各个风险的案例及应对措施,在白皮书中有详细介绍;可在云安全联盟大中华区官网https://c-csa.cn/research/results-detail/i-1604/下载进行详读。
*本文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!
联系邮箱:info@c-csa.cn
关于区块链安全工作组的更多介绍,请在CSA大中华区官网上查看。*
使用DEX的时候我们每次交易都会看到或大或小的滑点,而我们使用Uniswap、SushiSwap、MDEX等去中心化交易所进行投资的时候,很需要对流动性池子的大小有一定的感知。如果LP过小,这种投资机会风险就很高.
1900/1/1 0:00:00伴随比特币价格趋势性上涨,比特币活跃地址数量呈明显递增态势,2021年1月初已触达三年前的历史峰值,越来越多场外用户入市.
1900/1/1 0:00:00懒人版: 闪电贷:一种不需要用户抵押资金的贷款。这也可以?!!但是闪电贷有一个条件:必须在发放资金的同一交易中偿还贷款人。这听起来很奇怪?!贷款需要秒还,你又能做什么?好吧,是这样的,你可以在同一个交易中调用智能合约.
1900/1/1 0:00:00周五深夜、周六凌晨,币圈人却都没有休息,在几个小时内经历了焦急寻找财富密码,又暴富梦快速破碎的闹剧,甚至不少投资者忙活了一晚,却迎来爆仓结局。这一切,都与一位币圈“传奇”人物有关——波场TRON创始人孙宇晨.
1900/1/1 0:00:002月5日,总计10亿美元的比特币期权未平仓合约将到期。与上个月到期的40亿美元期权相比,这个数字相对较小,但通常月度和季度的期权交易量最大。周五的到期有些不同寻常,尽管它在当前的BTC价格水平上保持平衡.
1900/1/1 0:00:00为什么联盟链系统没有“激励”? 高承实 刚刚 16 区块链系统中的“激励”到底是什么?如果没有任何应用场景,又怀有一颗善良的初心,类似于最开始的比特币系统,那么“激励”就是为了维护系统自运行和系统的集体维护而被设计出来的一张饼.
1900/1/1 0:00:00