以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

數字貨幣交易所安全事件頻發 10大安全風險你了解多少?_DNS:dns幣的價格

Author:

Time:1900/1/1 0:00:00

數字貨幣交易所TOP10安全風險,你了解多少個?

TOP10

CSAGCR區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。

1?高級長期威脅

風險描述

高級長期威脅,又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore和Lazarus。

北師大宋向清:數字貨幣大范圍推廣將對現行支付體系帶來重大變化:北京師范大學政府管理研究院副院長宋向清稱,數字貨幣的大范圍推廣,將對現行的支付體系和貨幣格局帶來重大變化。宋向清表示,數字貨幣主流化可能還需要一定時間。主要原因在于,數字人民幣的基礎配套設施和基本法律規范等尚需進一步規劃、設計、論證、建設和檢驗,未來大規模落地應用有賴于相關生態的建立和完善。數字人民幣關乎金融系統穩定,關乎消費者對新貨幣的體驗和信任,更關乎產業發展和經濟形勢,必須審慎決策、穩健起步。(人民日報海外版)[2021/4/28 21:05:39]

2?分布式拒絕服務

風險描述

分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。

聲音 | 徐諾金:加強對數字貨幣研究和交流合作:12月16日,全國人大代表、中國人民銀行鄭州中心支行行長徐諾金發表《金融制度優勢應加快轉化為金融治理效能》文章,文章稱,進一步加強金融基礎設施和金融制度建設,提高金融服務質效。更好發揮金融基礎設施在連接金融機構、保障市場運行、服務實體經濟、防范金融風險重點基礎作用。完善金融基礎設施硬件架構,確保金融系統信息穩定安全。加大金融信息共享、交流力度,推動共建綜合性金融數據統計平臺。在風險可控的基礎上鼓勵金融科技創新,充分利用大數據、云計算、區塊鏈、人工智能等新興技術手段,創新金融服務模式,全面提升金融服務質效。加強對數字貨幣研究和交流合作,密切跟蹤國際數字貨幣發展趨勢,努力在國際數字貨幣領域贏得主動權。(金融時報)[2019/12/16]

3?內鬼監守自盜

風險描述

交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。

動態 | 英屬維爾京群島將推出自己的中央銀行數字貨幣:據Cryptoglobe消息,英屬維爾京群島政府今日宣布,它將與區塊鏈初創公司LIFELabs合作創建BVI~LIFE?,一種在英國海外領土內使用的穩定幣。盡管BVI自1959年以來一直使用美元作為其國家貨幣,但政府現在想做的是在LIFElabs幫助下,實施“由命定令牌提供動力”的中央銀行數字貨幣(CBDC),并與美元1:1掛鉤。它希望“這一轉變將降低交易費用,提高交易速度,并讓游客和游客都能接觸到。”[2019/12/3]

4?API安全風險問題

風險描述

交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:

沒有身份驗證的API

API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制以及傳輸層安全性至關重要。

行情 | 夜間數字貨幣行情播報:根據Huobi交易平臺數據顯示,BTC最新成交價格 10016.85 美元,最高價達 10158 美元,最低價格 9880 美元,成交量 2.13 萬,跌幅 0.28 %;ETH最新成交價格 213.78 美元,最高價達 219.13 美元,最低價格 210.8 美元,成交量 27.39 萬,跌幅 1.42 %;EOS最新成交價格 4.28 美元,最高價達 4.4444 美元,最低價格 4.2125 美元,成交量 1,089.90 萬,跌幅 1.42 %。[2019/8/2]

代碼注入

這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。

未加密的數據

僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。

政策 | 南非稅務局關注數字貨幣交易納稅情況:據bitcoin報道,今年4月,南非稅務局(South African Revenue Service)宣布,常規的稅收規則同樣適用于數字貨幣相關交易的收入和利潤。目前,南非稅務局正努力加大對數字貨幣交易和交易人員的監管,以核實他們是否正常納稅。[2018/8/19]

URI中的數據

如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭發送,因為這樣做可以避免網關進行日志記錄。

APIToken和APISecret沒有保護好

如果黑客能夠獲得客戶甚至超級用戶的APIToken和APISecret,資金的安全就成為問題。

沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。

5?假充值問題

風險描述

假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題

6?交易所熱錢包存儲過多資金,成為黑客目標

風險描述

交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:

惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。

數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。

IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。

員工監守自盜。前雇員在離職后通過在職時留下的后門進行資產轉移。

7?51%攻擊

風險描述

51%攻擊,又被稱為Majorityattack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。

8?不安全的文件處理

風險描述

這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。

9?DNS域名劫持?

風險描述

DNS服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。

劫持訪問需求有多種方式:

利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞,將受害者的流量截獲,并返回錯誤的DNS地址和證書。

劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。

遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。

入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。

10?第三方安全

風險描述

使用第三方服務的時候:

因為交易所使用第三方服務自行配置錯誤導致被黑;

因為第三方服務自身漏洞導致交易所被黑;

因為第三方服務被利用來釣魚投投馬導致交易所被黑;

因為第三方服務被黑導致交易所被黑。

鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦

陳大宏、趙勇

Tags:API數字貨幣DOSDNSapi幣官網數字貨幣交易所app下載安裝cudos幣最新消息dns幣的價格

以太坊價格今日行情
Spotify專利令人毛骨悚然的“情緒檢測技術”為您推薦歌曲_ORT:Sports Artificial

Spotify的推薦系統不適合您嗎?不用擔心-該平臺很快就會有一種新的,令人不安的改善建議的方式.

1900/1/1 0:00:00
CoinBene關于上線UNIUSDT合約的通知_COIN:COI

尊敬的用戶: 為提升合約交易體驗,CoinBene將于2021年1月29日16:00上線UNIUSDT合約.

1900/1/1 0:00:00
DeFi行業本質研究:觸發算子_DEFI:GAM

為什么會有觸發算子?當合約內部邏輯滿足一定的條件時,需要改變合約狀態,這個時候合約不會自動實現,需要外部操作來觸發,這是由中本聰架構下智能合約本質決定的:每個操作都是一次全局拍賣.

1900/1/1 0:00:00
東評 | 從 BTC 到 ETH 再到 DOT_NEAR:Elron

本文不構成任何投資建議,投資有風險,入市需謹慎!最近我在朋友圈喊出一句話,ETH是下一個BTC,DOT是下一個ETH,Near是ETH的備胎。很多人問我,今天就解釋一下個人的一點淺見.

1900/1/1 0:00:00
玩幣隊長:1.31比特幣以太坊震蕩蓄勢盤整 耐心等待變盤起飛_MAG:比特幣錢包怎么注冊

大家早上好,我是玩幣隊長。作為一名分析師最重要的還是需要被投資者信任與認可,分析師是做行情分析的,是為大家提供較為穩健建議,降低投資風險,不可能單單都是正確,那是神仙才能做到的.

1900/1/1 0:00:00
Paradigm創始人:鏈上治理效用存疑 不如讓治理最小化?_MAKE:TER

原文標題:《GovernanceMinimization》最好的政府是管得最少的政府。 ——佚名 為什么?因為治理最小化允許利益相關者依賴于某一協議?.

1900/1/1 0:00:00
ads