DOS:如何保護加密貨幣免受Web威脅和DDoS攻擊_加密貨幣

編者按：本文來自頭等倉區塊鏈研究院，Odaily星球日報經授權轉載。截至2018年3月，流通中的加密貨幣達1000多種，總市值超過4000億美元，而一年前僅為190億美元。雖然加密貨幣的底層區塊鏈技術在大多數情況下是天生安全的，但隨著采用的迅速增加，了解加密貨幣易受攻擊的弱點，以及生態系統的不同參與者如何保護自己的投資變得非常緊迫。本文將幫助參與者理解加密貨幣的漏洞，提高安全性，包括：ICO發行人，投資者在其網站上發送他們的貨幣。通常持有和交易數百萬美元的資產的加密貨幣交易所的運營商。選擇交易所的加密貨幣所有者，保護他們的加密貨幣錢包。新興加密貨幣行業的弱點

以下是加密貨幣生命周期中安全面臨風險的一些關鍵階段：ICO發行人的網站可能會受到攻擊，從而干擾發行和之后對加密貨幣的支持。有一個案例，發行網站被黑客攻擊，更改了發送投資的地址，從而轉移了部分發行資產。ICOs網站一直受到DDoS攻擊，使其無法使用，并使ICO遭到了破壞。在任意時間點都持有數百萬美元的資產的加密貨幣交易所，實時交易大量資產。這些網站可能會被交易淹沒或被攻擊。在某些情況下，DDoS攻擊會導致交易所在一段時間內不可用。加密貨幣錢包：必須選擇一個交易所的加密貨幣的所有者，以及保護他們加密貨幣的錢包。黑客使用竊取的證書或釣魚攻擊的證書填充技術，竊取私人和在線錢包的資金。初始代幣發行

OKEx金融市場總監：加密貨幣的未來取決于CBDC在未來如何發展:5月24日消息，OKEx金融市場總監Lennix Lai表示，適應中國的CBDC并不是那么困難，因為現金的使用已經有所下降，這要歸功于支付寶和微信支付等電子支付系統的進入。Lai指出，鑒于中國一直在使用需要KYC和其他安全流程的電子支付的事實，中國的金融隱私概念早已不復存在，但當其他國家中央銀行在發行CBDC時，這可能會成為一個問題。另一方面，中國CBDC直接在中央銀行的權力之下并且不提供任何金融隱私這一事實可能會促使人們開始轉向加密貨幣。因此，中國CBDC的啟動確實可以促進并使人們意識到主流加密貨幣的用例和重要性。此外，他表示，比特幣、Ripple和其他加密貨幣的未來取決于CBDC在未來如何發展。如果人們意識到金融隱私的需要，他們可能會涌向比特幣，但在那些金融隱私存在已久的國家，這種去中心化的貨幣可能會被邊緣化。（AMBcrypto）[2020/5/24]

服務于加密貨幣的網站或移動應用程序就與普通網站一樣易受攻擊，對攻擊者來說，它們是一個個特別誘人的目標。ICO網站遭到攻擊，推遲發行，甚至被抽走了部分發行的加密貨幣。在一種情況下，攻擊者使用丑化攻擊將官方貢獻地址轉換為攻擊者的匿名地址。結果，Ether被重定向到錯誤地址幾分鐘。ICO也經常受到大容量網絡或應用層DDoS攻擊。由于交易量龐大，ICO網站需要采取以下措施來提供高水平的保護：身份驗證：通過要求強密碼和雙因子身份驗證，防止未經授權的訪問者進入。在失敗的登錄嘗試中，不要透露多于所需的信息，例如登錄的哪一部分是不正確的。更新軟件和操作系統：許多運行站點的軟件應用程序可能存在漏洞。保持所有軟件的最新版本和補丁，防止出現漏洞。驗證客戶端輸入和服務器上的所有輸入。防止惡意內容的注入，比如SQL注入和跨站點腳本。有關web漏洞的更多信息，請參閱OWASP前10。加密：整個網站使用HTTPS。限制對管理頁面的訪問：只允許選定的管理用戶訪問站點管理url。最重要的是，使用企業級web應用程序防火墻保護站點。WAF將防止所有web應用程序攻擊，并控制對站點和應用程序的訪問。貨幣交易所

大咖零距離 | 行情巨震 如何合理配置幣圈資產:3月30日16:00，由金色盤面主辦、BTSE交易所獨家贊助的《大咖零距離》正式開播。屆時BTSE聯合創始人/CPO BrianWong，將在《大咖零距離》直播間分享《行情巨震，如何合理配置幣圈資產》，敬請關注，欲進群觀看直播掃描海報二維碼報名即可！[2020/3/30]

想要購買或交易加密貨幣的人有眾多交易所供他們挑選，交易所的安全措施和可用性是必需考慮因素，確保存儲的資產得到保護，潛在的交易不受交易所意外延遲的影響。這種延遲可由下列原因引起：DDoS攻擊，導致交易所在一段時間內無法進行交易。站點無法處理大量的干凈交易，例如數據庫超載或服務器資源超載，從而導致服務降級。據Incapsula網站最新發布的《全球DDoS威脅狀況報告》報道，使用其服務的加密貨幣網站位居最易受DDoS攻擊的十大行業之列。雖然Incapsula網站順利規避了這些攻擊，但也有一些關于加密貨幣交易所的破壞性攻擊的報道。過去幾個月，上面兩種情況都出現過，而且隨著對加密貨幣的需求不斷增長，這種情況可能會繼續下去。此外，交易所也是攻擊的一個關鍵目標，因為它們充當了錢包的角色，在任意時間點都可能存入價值數億美元的加密貨幣。因此，請選擇具有可用和安全記錄的交易所。API通常是加密貨幣交易所網站的弱點，因為它們的有效負載結構通常是專有的，這使得很難識別惡意速率或有效負載。因此，它們經常成為DDoS或其他攻擊的載體。要提供預期的服務級別，交易所必須考慮以下措施來降低服務降級的風險：提供足夠的帶寬以滿足需求。在一個需求迅速增長的市場中，增加帶寬可能是一個持續的挑戰。除了這個挑戰之外，不太可能減輕我們正在目睹的大規模DDoS攻擊。監控流量，檢測網站何時受到DDoS攻擊。識別和過濾流量，例如來自已知攻擊地址、已知機器人代理或已知的主要攻擊源的流量，檢測和阻止惡意用戶。保護帳戶承受攻擊，例如使用證書填充，提供如ICO網站所述的強大的網絡保護。識別和過濾來自單個源或用戶會話、已知應用程序簽名和不符合已知HTTP協議的流量的過多請求，檢測和阻止惡意應用層請求。保護你的API，因為檢查其有效負載的合法性比較困難。它們可能由于誤報而無效，或者相反，支持載體攻擊。由于難以有效地實現這些措施，交易所可以實現提供所需服務水平的服務，防止這些攻擊。貨幣錢包

聲音 | 日本金融廳長官：針對區塊鏈等分布式金融系統，如何確保公眾利益已成為新課題:據日經新聞消息，今日在日本福岡舉行的G20峰會上，日本金融廳長官遠藤俊英發表演講指出“監管規則可能抑制創新，監管規則也會跟不上技術變革”。此外，以區塊鏈技術為首的分布式金融系統在沒有金融機構充當中介的情況下，可能實現顧客和市場參與者之間的直接交易，因此金融機構的地位存在下降的可能性，在這種情況下，如何確保公眾利益已成為新的課題。[2019/6/8]

購買加密貨幣后，它會存儲在你的數字錢包里。這樣，你可以接收和發送你喜歡的加密貨幣。錢包存儲私鑰，私鑰表示對區塊鏈中一定數量貨幣的公鑰的所有權。由于不能重新創建私鑰，丟失密鑰就等于丟失了加密貨幣。如果有人獲取了密鑰，他就可以訪問加密貨幣。因此，錢包的安全存儲性能非常重要，錢包的選擇也很重要。就像你可以在不同的地方儲存現金，例如錢包或你的口袋，銀行或保險箱。以下是幾種存儲加密貨幣的錢包類型：軟件錢包：提供訪問加密貨幣的桌面或移動應用程序。由于只能從安裝錢包的設備訪問錢包，軟件錢包具有高水平的安全性。但是，如果設備出現了問題，你可能無法檢索自己的私鑰，從而丟失貨幣。在線錢包：在線錢包存儲在一個網站上，和其他存儲在云中的數據一樣，可以從任何設備訪問錢包。然而，這可能更容易受到攻擊，取決于第三方提供的安全性。資產被盜往往是證書填充的結果。從知名或不為人所知的網站竊取的用戶名和密碼在“暗網”上出售，通常是由僵尸網絡在登錄頁面上填充，直到用戶名/密碼組合生效。硬件錢包：指用于在本地存儲密鑰的專用物理設備，安全性最高。要使用這款錢包，用戶只需將硬件錢包插入一個可上網的設備，輸入錢包的pin，然后進行交易。我們建議采用以下步驟，保護你的加密貨幣：

坦桑尼亞銀行正在研究如何管理數字貨幣:隨著坦桑尼亞人對數字貨幣投資的增加，坦桑尼亞銀行（BoT）正在研究如何管理新現象。BoT國家支付系統官員Bernard Dadi稱，數字貨幣概念目前仍是新的，全球各地的中央銀行仍在研究應對這項技術的對策。數字貨幣可供任何人使用，這使得監管變得更加困難。[2018/3/8]

在線小額：就像你通常不會在口袋里放幾千美元一樣，盡量減少你在電腦或移動設備中保存的加密貨幣數量。維持日常使用所需的金額，以便容易訪問資金，并在更安全的環境中保持余量資金。備份：無論你使用哪種類型的錢包，確保所有的備份都是安全的。請記住，如果你丟失了錢包私鑰，你就丟失了加密貨幣。在不同的安全位置對不同類型的設備進行多次備份，增加各種恢復路徑。加密：用你永遠不會忘記的密碼加密你的錢包。考慮在安全的地方保存一份密碼副本，比如保險庫。在你的環境中，采用額外安全層，例如登錄和交易進行雙因子身份驗證。防止惡意軟件和使用病防護保護環境。使用推薦的錢包：如果你使用的是在線錢包，要謹慎選擇一個在安全服務方面享有聲譽的錢包。考慮使用一個與你交易所集成的錢包。使用唯一密碼，不要在其他網站使用，否則可能會導致未報告的證書被盜。Incapsula保護

創建一種新貨幣和建立一個交易所是一項復雜的業務。Incapsula網站保護和DDoSmitigation可以保護你的網站免受最先進的網站攻擊、DDoS和帳戶接管攻擊。Incapsula可以為你提供額外的基于云的負載平衡和故障轉移或傳遞規則解決方案，使你的網站在操作方便的情況下最大化可用性。Web應用程序防火墻

美國商品期貨交易委員會公布關于如何定義加密貨幣已經交易完成的解釋: 美國商品期貨交易委員會（CFTC）已經公布了解釋說明，關于如何定義加密貨幣已經從買方“交付”給了賣方。確認交付已經完成的的兩個因素是：1. 客戶有能力 （i）擁有和控制全部數量的商品，無論是以保證金，還是使用杠桿或其他融資購買，以及（ii）在交易之日起28內，自由地商業使用商品（在任何特定平臺內外）；以及2. 報價人及賣方（包括各自的關聯方或與報價人或賣家合作的其他人士）不保留任何利益或控制任何以保證金，杠桿或其他融資方式購買的商品，在超過自交易日期起計28日后。據CFTC稱，提議的解釋不是最終的，需要經過90天的公眾評議期。[2017/12/16]

Incapsula網站的網絡應用程序防火墻，連續四年被Gartner評為領先的WAF，它可以分析所有用戶對你的網絡應用程序的訪問，保護你的應用程序免受網絡攻擊，同時確保特定的技術，比如網絡sockets不會被破壞。它可以防止所有web應用程序攻擊，包括OWASP十大威脅，并阻止惡意程序。Incapsula還可以根據各種因素過濾流量，從而控制哪些訪問者可以訪問你的應用程序。WAF分析web應用程序的各個方面，檢測攻擊，例如防止依賴于跨站點腳本的站點損壞攻擊。有了這種保護，你的站點就可以避免惱人的驗證請求，如驗證碼、電子郵件確認或許多站點流行的雙因子身份驗證。DDoS保護

為了保護加密貨幣交易所和基礎網站，Incapsula網站的DDoS保護會自動檢測并減輕針對網站和網絡應用程序的攻擊。Incapsula網站是唯一提供SLA保證的網站，能在10秒內發現并阻止攻擊。我們新的Behemoth2平臺阻止了650Gbps的DDoS泛濫，流量超過150Mpps，還有剩余容量。我們預計，隨著攻擊規模的不斷擴大，容量會得到進一步的測試。除了處理大容量攻擊外，Incapsula網站還專門針對這些類型的DDoS攻擊提供保護。復雜應用程序，或第7層，攻擊web服務器上的應用程序。這些攻擊需要更小的容量才能生效，以每秒的數據包來衡量，但更難以檢測。ForresterWave報告說，Imperva在檢測和減輕應用層攻擊的能力上首屈一指。由大量請求組成的大規模攻擊，這些請求通過許多站點提供的API進行編排。API流量以最小的誤報進行過濾。檢查這些實踐來保護你的API。CDN服務

內容分發網絡有效地解決了加密貨幣交易所的指數增長問題，并擴建他們的業務規模。除了DDoS服務保護，IncapsulaCDN網站還提供了以下服務，幫助提高重載下加密貨幣交易所的穩定性。全球內容分發網絡以其智能緩存和高速存儲和優化工具，提高網站的速度和性能。Incapsula網站部署了40多個pop后，大大提高了頁面加載時間。Incapsula云負載均衡能讓交易所輕松擴展，增加服務器和故障轉移數據中心，并在不停機的情況下從云添加傳輸和轉發規則。使用定義規則功能，保護證書填充和帳戶接管，為登錄頁面提供額外保護，防止僵尸程序執行證書填充。規避了加密貨幣域中的主要帳戶接管威脅，黑客在該域中使用竊取的證書進行欺詐。對付暴力攻擊的傳統安全措施，阻止來自給定IP的/登錄頁面的高速率請求。然而，最近有一些攻擊繞過了這類過濾器，以極低的速度在受感染的計算機中發送數千個僵尸程序。即使是在低速率情況下，IncapsulaCDN也可以防止攻擊，因為它可以阻止或增加任何到達/登錄頁面的非人類訪問的難度，而不會減慢頁面加載速度。高級機器人分類和規避使用高級規則API保護，極低的誤報率，同時保持高水平的保護，包括針對API的DDoS攻擊有了這些服務，你就可以確保站點始終可用。結語

加密貨幣的種類和數量在不斷增加，針對加密貨幣發起的攻擊，在規模、復雜性和頻率上都在不斷增加。相關機構必須了解對專用的和高級的WAF和DDoS保護服務的需求，將財務、操作和聲譽風險降至最低。本文概述的最佳做法將幫助各機構建立健全的規避戰略。這些措施包括監控應用程序和網絡流量、檢測和過濾惡意用戶以及識別和阻止惡意請求。

Tags：加密貨幣DDOSDOSCAPS央行數字貨幣是加密貨幣嗎DDOS價格DOS價格BCAPS幣

屎幣