以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > Gate.io > Info

數字貨幣交易所安全事件頻發 10大安全風險你了解多少?_數字貨幣:DOS

Author:

Time:1900/1/1 0:00:00

數字貨幣交易所安全事件頻發10大安全風險你了解多少?

云安全聯盟CSA

剛剛

20

數字貨幣交易所TOP10安全風險,你了解多少個?

TOP10

CSAGCR區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。

1?高級長期威脅

風險描述

高級長期威脅,又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore和Lazarus。

G7將制定央行數字貨幣指導原則,強調透明度和隱私保護:10月11日消息,周一公布的一份文件草案顯示,七國集團(G7)計劃呼吁將透明度和隱私保護作為針對央行數字貨幣(CBDC)制定的一套共同指導原則的一部分。

這13條規則預計將于周三在華盛頓舉行的一次財長會議上獲得批準。日本共同社(Kyodo News)獲得的文件指出,發行此類貨幣是“主權問題”,但同時表示“通過制定一套共同的原則,強調透明度、法治和健全的經濟治理等共同價值觀的根本重要性,這些原則可以指導七國集團及以后對零售CBDC的探索。”(The Japan Times)[2021/10/11 20:21:16]

2?分布式拒絕服務

風險描述

分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。

行情 | 全球數字貨幣總市值突破1300億美元:據CoinMarketCap數據顯示,當前全球數字貨幣總市值約為1309.68億美元。比特幣Huobi現報4063.69美元,ETH現報115.88美元,EOS現報3.15美元。[2018/11/28]

3?內鬼監守自盜

風險描述

交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。

4?API安全風險問題

風險描述

交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:

沒有身份驗證的API

API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制以及傳輸層安全性至關重要。

代碼注入

這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。

早間數字貨幣行情梳理:根據Bitfinex交易平臺數據顯示,

BTC最新成交價格56779.30元,最高價達57443.40元,最低價格55853.10元,跌幅0.62%;

ETH最新成交價格3796.86元,最高價達3876.76元,最低價格3698.38元,跌幅0.58%;

BCH最新成交價格7144.97元,最高價達7457.98元,最低價格6531.77元,跌幅2.37%。[2018/4/22]

未加密的數據

僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。

URI中的數據

如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭發送,因為這樣做可以避免網關進行日志記錄。

比爾蓋茨稱數字貨幣可直接導致死亡 在推特引發眾怒:比爾蓋茨昨日在Reddit上稱目前數字貨幣被用于購買,因此是一項可以直接導致死亡的技術。此觀點在推特上引發眾怒,風險投資人Anthony Pompliano稱,數字貨幣并不是嚴格匿名的,蓋茨的擔憂同樣適用于發幣。比特幣開發商Udi Wertheimer也表示,數字貨幣并不比現金更危險。[2018/2/28]

APIToken和APISecret沒有保護好

如果黑客能夠獲得客戶甚至超級用戶的APIToken和APISecret,資金的安全就成為問題。

沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。

5?假充值問題

風險描述

假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題

6?交易所熱錢包存儲過多資金,成為黑客目標

上海票交所會同數字貨幣研究所 組織開展了數字票據交易平臺建設:從上海票交所了解到,根據中國人民銀行的安排部署,上海票據交易所會同數字貨幣研究所,組織中鈔信用卡公司、工商銀行、中國銀行、浦發銀行和杭州銀行共同開展了基于區塊鏈技術的數字票據交易平臺建設相關工作。1月25日,數字票據交易平臺實驗性生產系統成功上線試運行,工商銀行、中國銀行、浦發銀行和杭州銀行在數字票據交易平臺實驗性生產系統順利完成基于區塊鏈技術的數字票據簽發、承兌、貼現和轉貼現業務。[2018/2/2]

風險描述

交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:

惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。

數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。

IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。

員工監守自盜。前雇員在離職后通過在職時留下的后門進行資產轉移。

7?51%攻擊

風險描述

51%攻擊,又被稱為Majorityattack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。

8?不安全的文件處理

風險描述

這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。

9?DNS域名劫持?

風險描述

DNS服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。

劫持訪問需求有多種方式:

利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞,將受害者的流量截獲,并返回錯誤的DNS地址和證書。

劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。

遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。

入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。

10?第三方安全

風險描述

使用第三方服務的時候:

因為交易所使用第三方服務自行配置錯誤導致被黑;

因為第三方服務自身漏洞導致交易所被黑;

因為第三方服務被利用來釣魚投投馬導致交易所被黑;

因為第三方服務被黑導致交易所被黑。

鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦

陳大宏、趙勇

安全問題

交易所

本文來源:

云安全聯盟CSA

文章作者:區塊鏈安全工作組

我要糾錯

聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。

提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。

金色財經>區塊鏈>數字貨幣交易所安全事件頻發10大安全風險你了解多少?

Tags:API數字貨幣區塊鏈DOSAQUAPIG數字貨幣違法行為區塊鏈dapp開發公司dose幣是哪個國家的

Gate.io
盜竊比特幣的刑事法律問題研究_NFT:比特幣

盜竊比特幣的刑事法律問題研究 全球區塊鏈合規聯盟 剛剛 32 自2008年金融危機以來,基于互聯網技術與國際貿易的發展,世界各國經濟得以快速恢復。互聯網技術的發展也助力加密貨幣市場更加繁榮.

1900/1/1 0:00:00
2021年DEX有哪些值得關注的方向?_SWAP:UNI

本文為?DeFianceCapital負責人ArthurCheong和ThreeArrowsCapital首席執行官SuZhu一場播客內容的摘要,兩人闡述了對DeFi項目發展的看法和觀點.

1900/1/1 0:00:00
北京商報:比特幣“過山車”背后的礦圈眾生相_比特幣價格:比特幣價格發展

來源:北京商報 記者?岳品瑜?劉四紅 最近,比特幣的價格坐上了“過山車”,1月初還不到3萬美元,之后到歷史新高40721美元,僅用了不到10天,接下來的12天內又狂跌回29532美元.

1900/1/1 0:00:00
EIP-1559提案爭議不斷 Gas困局何解?_以太坊:GAS

以太坊網絡的擁堵問題由來已久,DeFi的熱潮再次使Gas費價格飆升,1月初以太坊Gas價格甚至最高突破600Gwei,以太坊EIP-1559提案被快速提上日程.

1900/1/1 0:00:00
顯卡一卡難求 礦工又盯上筆記本電腦?_RTX:GENE

當游戲玩家們的趁手兵器——顯卡,突然用來改變金融世界,游戲娛樂需求遭到掙錢原始沖動的正面硬剛,而這場爭奪戰,甚至已升級到了搶高端筆記本電腦的新地步! 礦工盯上游戲筆記本 加密貨幣的大漲.

1900/1/1 0:00:00
借助DeFi NFT發展達到歷史新高_APP:Dapper Labs

流動性對所有dapp的創建和發展至關重要。DeFi夏日狂潮過后,NFT的發展成為焦點。它們之間的聯系遠比一些人想象的還要緊密.

1900/1/1 0:00:00
ads