數字貨幣交易所安全事件頻發10大安全風險你了解多少?
云安全聯盟CSA
剛剛
20
數字貨幣交易所TOP10安全風險,你了解多少個?
TOP10
CSAGCR區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。
1?高級長期威脅
風險描述
高級長期威脅,又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore和Lazarus。
專家小組:美國需要監管穩定幣或發行自己的央行數字貨幣:9月21日消息,在眾議院金融服務委員會周二的聽證會上,包括研究人員和區塊鏈分析公司高管在內的一個專家小組表示,美國需要在監管穩定幣或發行自己的央行數字貨幣方面取得進展,才能保持美元的主導地位、保證對他國的制裁有效。
美國財政部上周在一份報告中重申,美國需要為民間發行的穩定幣建立護欄,以保護金融系統和消費者,并呼吁進一步研究數字美元或央行數字貨幣,以備“國家利益需要”。區塊鏈分析公司TRM Labs Inc.的法務和政府事務主管Ari Redbord表示,法幣支持的穩定幣99%與美元掛鉤,呼吁制定監管政策來促進這個市場的增長和穩定。(金十)[2022/9/21 7:09:45]
2?分布式拒絕服務
風險描述
分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。
行情 | 午間數字貨幣行情播報:根據Huobi交易平臺數據顯示,BTC最新成交價格 10124.72 美元,最高價達 10230 美元,最低價格 10068 美元,成交量 1.35 萬,跌幅 0.53 %;ETH最新成交價格 218.08 美元,最高價達 221.4 美元,最低價格 212.12 美元,成交量 35.20 萬,漲幅 0.49 %;EOS最新成交價格 4.0275 美元,最高價達 4.0728 美元,最低價格 3.83 美元,成交量 1,033.24 萬,漲幅 3.43 %。[2019/9/21]
3?內鬼監守自盜
風險描述
交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。
4?API安全風險問題
風險描述
交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:
動態 | 日本自民黨議員擬成立數字貨幣相關聯盟:據Yomiuri今日消息,日本自民黨的議員將于7月17日成立旨在服務于數字貨幣市場健康發展的“考慮使用新型貨幣議員聯盟”,聯盟將討論保護投資者的方式、修改相關法律的方案等。[2018/7/16]
沒有身份驗證的API
API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制以及傳輸層安全性至關重要。
代碼注入
這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。
未加密的數據
僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。
數字貨幣總市值跌破4000億美元 :4月25日,數字貨幣牛市暫停,市場提前下跌,市值前十幣種有9個下跌,且有4個幣種跌幅為兩位數。今日的價格變動開始于10:30,彼時數字貨幣市場市值為4340億美元,在接下來的兩個半小時市值下跌了300億美元,目前總市值為3946.19億美元。[2018/4/25]
URI中的數據
如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭發送,因為這樣做可以避免網關進行日志記錄。
APIToken和APISecret沒有保護好
如果黑客能夠獲得客戶甚至超級用戶的APIToken和APISecret,資金的安全就成為問題。
沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。
數字貨幣集團DCG宣布:已收購加州特許商業銀行:數字貨幣集團DCG(Digital Currency Group)官方發布推特稱,已經收購了加州特許商業銀行Silvergate銀行。該推特賬號還轉發了4-trades報道,其顯示Silvergate已完成了私人配售950萬股普通股,總價值為1.14億美元,但報道中并未指出收購方為DCG。[2018/2/27]
5?假充值問題
風險描述
假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題
6?交易所熱錢包存儲過多資金,成為黑客目標
風險描述
交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:
惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。
數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。
IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。
員工監守自盜。前雇員在離職后通過在職時留下的后門進行資產轉移。
7?51%攻擊
風險描述
51%攻擊,又被稱為Majorityattack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。
8?不安全的文件處理
風險描述
這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。
9?DNS域名劫持?
風險描述
DNS服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。
劫持訪問需求有多種方式:
利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞,將受害者的流量截獲,并返回錯誤的DNS地址和證書。
劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。
遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。
入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。
上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。
10?第三方安全
風險描述
使用第三方服務的時候:
因為交易所使用第三方服務自行配置錯誤導致被黑;
因為第三方服務自身漏洞導致交易所被黑;
因為第三方服務被利用來釣魚投投馬導致交易所被黑;
因為第三方服務被黑導致交易所被黑。
鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦
陳大宏、趙勇
安全問題
交易所
本文來源:
云安全聯盟CSA
文章作者:區塊鏈安全工作組
我要糾錯
聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。
提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。
金色財經>區塊鏈>數字貨幣交易所安全事件頻發10大安全風險你了解多少?
本文為?DeFianceCapital負責人ArthurCheong和ThreeArrowsCapital首席執行官SuZhu一場播客內容的摘要,兩人闡述了對DeFi項目發展的看法和觀點.
1900/1/1 0:00:00美國證券交易委員會(SEC)在美國時間2月1號,批準了全球投資咨詢公司古根海姆(Guggenheim)通過數字資產管理公司GrayScale向比特幣投資5億美元的申請.
1900/1/1 0:00:00據比推數據,市值最大的加密貨幣比特幣周三一路下跌至3萬美元附近,日跌幅近4%。 歷史數據顯示,這是比特幣在今年1月2日強勢上漲突破3萬美元之后第四次測試該支撐位,在此前的三次下探中,比特幣均能夠.
1900/1/1 0:00:00在鏈聞,我們嚴肅又認真的尋找那些有可能「出圈」的區塊鏈及加密貨幣原生產品。「嚴肅又認真」是指,我們所言的「出圈」,并不是像很多人理解的那樣,讓區塊鏈或加密貨幣的話題出現在傳統或所謂的「主流」媒體.
1900/1/1 0:00:00日本金融公司SBI控股和三井住友金融集團將推出數字證券交易所。 動態 | 日本金融巨頭Monex美國子公司Trade Station推出虛擬貨幣交易所:據JP.Cointelegraph消息,日.
1900/1/1 0:00:00Hegic是一個去中心化的期權交易所,用戶無需注冊登陸、無需KYC,即可購買比特幣和以太坊的看漲期權和看跌期權,而流動性提供者實際上充當了期權的賣方,為平臺提供了期權交易所需的流動性.
1900/1/1 0:00:00