本文原發于:CSDN
CSAGCR區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。
鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦陳大宏、趙勇
1高級長期威脅
風險描述:高級長期威脅,又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore和Lazarus。
俄羅斯“數字貨幣法案”規定普通居民每年最多購買7000美元的加密貨幣:金色財經報道,俄羅斯財政部最近向政府提交了“數字貨幣”法案的更新版本,旨在全面監管該國的加密貨幣市場。俄羅斯媒體本周報道了該法律條款的細節。
根據該草案,合格投資者,或現在被稱為“數字貨幣的專業買家”,將可以無限制地購買加密資產。然而,普通俄羅斯人每年最多可以購買60萬盧布(約合7000美元)的加密貨幣,而在此之前他們還需要接受一次特殊的考試。Interfax援引知情人士的話稱,未通過測試的俄羅斯居民每年只能購買總價值不超過5萬盧布(約600美元)的加密貨幣。
新法律將“數字貨幣”定義為“包含在信息系統中的一組電子數據,可以作為支付手段而不是俄羅斯聯邦的貨幣單位,也可以作為投資。”該報道指出,數字貨幣在俄羅斯被視為財產。
該措辭似乎為在支付中使用加密貨幣提供了法律依據。但與此同時,該法案規定,俄羅斯的法律實體,包括在俄羅斯設立的外國公司的子公司和國際組織,以及在12個月內在俄羅斯停留至少183天的個人,不能接受數字貨幣作為商品和服務的支付方式。(Bitcoin.com)[2022/4/18 14:31:40]
2分布式拒絕服務
NBS理事會成員應邀列席央行數字貨幣項目“DC/EP”蘇州銀行試點應用研討會:據悉,NBS理事會成員近日應邀列席央行數字貨幣項目“DC/EP”蘇州銀行試點應用研討會。參會理事認為,電子人民幣DECP不支持智能合約功能,NBS的資產交易系統以及金融系統安全級別定制化智能合約功能可以和DECP深入整合,進一步擴大DECP的使用場景。昨日(12月4日)晚間,蘇州發布消息顯示,面向符合條件的蘇州市民發放2000萬元數字人民幣消費紅包,每個紅包金額為200元,紅包數量共計10萬個。京東也加入數字人民幣試點。NBS理事會表示,非常重視這次和“DC/EP”蘇州銀行試點應用研討會,NBS技術有望為電子人民幣DECP的擴展應用插上翅膀。[2020/12/5 14:08:10]
風險描述:分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。
中國人民銀行數字貨幣研究所與上海市長寧區達成戰略合作:9月28日,中國人民銀行數字貨幣研究所與上海市長寧區人民政府在滬簽署戰略合作協議,雙方將共同打造高品質金融科技功能平臺和區塊鏈技術應用示范區,助力上海金融科技中心建設。根據協議,雙方將成立上海金融科技公司,集聚技術、人才、場景和服務優勢,逐步實現貿易金融區塊鏈平臺和技術研發中心落地。此舉是人民銀行數研所推動貿易金融區塊鏈平臺生態建設和全國布局的重要環節,也是長寧區立足區位優勢和產業特色,緊密對接上海金融科技中心建設的重大舉措。(網易新聞)[2020/9/28]
3內鬼監守自盜
風險描述:交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。
4API安全風險問題
風險描述:交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:
動態 | 數字貨幣支付服務商CoinGate支持BNB:據CoinGate官方,數字貨幣支付服務商CoinGate現支持BNB付款。隨后,趙長鵬在其推特轉發該消息,并寫道“讓你的客戶支付BNB美元,通過Coingate獲得歐元或轉換為比特幣。”[2018/10/10]
沒有身份驗證的API
API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制以及傳輸層安全性至關重要。
代碼注入
這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。
未加密的數據
僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。
民意調查:超半數羅馬尼亞年輕人認為數字貨幣是未來的支付方式:據一項民調顯示,羅馬尼亞對數字貨幣的認識日益增強,57%城市居民聽說過數字貨幣,超半數的年輕人想使用數字貨幣進行支付。在40歲以下的受訪者中,有61%的人認為數字貨幣代表了未來的支付方式。另外,在熟悉數字貨幣的人當中,有44%的人表示想要使用數字貨幣進行支付;17%表示將在一年內將購入數字貨幣。[2018/3/9]
URI中的數據
如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭發送,因為這樣做可以避免網關進行日志記錄。
APIToken和APISecret沒有保護好
如果黑客能夠獲得客戶甚至超級用戶的APIToken和APISecret,資金的安全就成為問題。
沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。
5假充值問題
風險描述:假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題。
6交易所熱錢包存儲過多資金,成為黑客目標
風險描述:交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:
惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。
數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。
IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。
員工監守自盜。前雇員在離職后通過在職時留下的后門進行資產轉移。
751%攻擊
風險描述:51%攻擊,又被稱為Majorityattack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。
8不安全的文件處理
風險描述:這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。
9DNS域名劫持
風險描述:DNS服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。
劫持訪問需求有多種方式:
利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞,將受害者的流量截獲,并返回錯誤的DNS地址和證書。
劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。
遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。
入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。
上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。
10第三方安全
風險描述:使用第三方服務的時候:
因為交易所使用第三方服務自行配置錯誤導致被黑;因為第三方服務自身漏洞導致交易所被黑;因為第三方服務被利用來釣魚投投馬導致交易所被黑;因為第三方服務被黑導致交易所被黑。
各個風險的案例及應對措施,在白皮書中有詳細介紹;可在云安全聯盟大中華區官網https://c-csa.cn/research/results-detail/i-1604/下載進行詳讀。
*本文有不妥當之處,敬請讀者聯系CSAGCR秘書處給與雅正!
聯系郵箱:info@c-csa.cn
關于區塊鏈安全工作組的更多介紹,請在CSA大中華區官網上查看。*
美國證券交易委員會審理的Ripple案可能會對整個行業產生重大的連鎖反應。1月29日,RippleLabs對SEC的投訴進行了回應.
1900/1/1 0:00:00從比特幣到以太坊,似乎越來越多的機構交易員開始對積累以太坊以獲取長期收益感興趣,原因是以太坊也是一種價值儲存.
1900/1/1 0:00:00近日,多名流動性“礦工”對吳說區塊鏈表示,幣安智能鏈上又一個DeFi“土礦”popcornswap跑路,項目方卷走近48000個BNB,價值約215萬美金。數日內還有三個項目跑路.
1900/1/1 0:00:00作者:JPKoning 編譯:萌眼財經 原標題:《當泰達說它“受監管”時,它說的究竟是什么?》Tether,真受監管么?加密領域的新人很快就會面對一個普遍的區別.
1900/1/1 0:00:00在KeeperDAO流動性和套利挖礦計劃結束后的24小時,KeeperDAO將啟用隱藏游戲功能,以試圖重新分配MEV,并減少清算人之間的gas競爭,這意味著以太坊網絡擁堵情況將有所改善.
1900/1/1 0:00:001月30日,巴比特學院“區塊鏈技術軟件開發師”職業認證培訓班第四期結業考試正式拉開帷幕。往期,學員都需要參與線下考試,介于疫情原因,巴比特學院首次嘗試“線上云考試”,既能保證學員的健康安全,也不.
1900/1/1 0:00:00