數字貨幣交易所TOP10安全風險,你了解多少個?
TOP10
CSA GCR 區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。
1 高級長期威脅
(APT:Advanced Persistent Threat)
風險描述
高級長期威脅(英語:Advanced Persistent Threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0 day 漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore(也被稱呼為:Crypto-gang”,“Dangerous Password”, “Leery Turtle”大概成功盜取2億美金)和 Lazarus(大概盜取5億美金)。
東信和平:公司目前獲得兩項數字貨幣技術專利:東信和平(002017.SZ)在互動平臺回答投資者提問時表示,公司目前獲得的兩項數字貨幣技術專利,僅為公司在數字安全管理方面的儲備技術,目前未對公司業績產生影響。公司會積極關注前沿技術,保持技術研發的先進性。(財聯社)[2020/4/27]
2 分布式拒絕服務
(DDOS)
分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊(DoS)的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。
3 內鬼監守自盜
廣電運通:數字貨幣不會淡化公司銀行智能終端銷售:4月23日,廣電運通(002152.SZ)在深交所-互動易上回答投資者提問時表示, 數字貨幣不會淡化公司在銀行的智能終端銷售,比如說數字貨幣錢包就有可能需要通過銀行智能終端進行自助領取和回收。[2020/4/23]
(Insider Attack)
交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。
4 API 安全風險問題
交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:
(1)沒有身份驗證的API
API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制(例如OAuth / OpenID Connect)以及傳輸層安全性(TLS)至關重要。
(2)代碼注入
聲音 | 原中國銀行行長李禮輝:數字貨幣最有可能成為高效率的工具:近日原中國銀行行長李禮輝在接受采訪時表示:“數字貨幣能不能替代傳統的貨幣形式,能不能取代新興的電子支付工具成為主要的貨幣形式和主要的支付工具,我覺得應該取決于四個關鍵因素,一是效率更高,二是成本更低,三是具有商業價值的經濟規模,四是具備社會認可的可信性和安全性。我認為在零售支付的市場,數字貨幣可能并不具備取代或者替代微信支付、支付寶等新的電子支付方式的絕對優勢,但是在金融交易的場景中,或者說在數字金融資產的交易場景中,數字貨幣最有可能成為高效率的工具。”[2018/12/24]
這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。
(3)未加密的數據
僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如Data Masking, Data Tokenization, XML Encryption 等等。
分析 | 調查顯示:英國僅7%投資者認可數字貨幣:英國投資公司IW最近的研究發現,38%的受訪者并不了解數字貨幣。此外,三分之一的受訪者認為,假定的比特幣泡沫將很快破滅,只有7%的受訪者認為,加密貨幣投資比傳統渠道更好。此外,在接受調查的數字貨幣投資者中,只有5%的人真正實現了盈利。[2018/7/29]
(4)URI中的數據
如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭(Message Authorization Header)發送,因為這樣做可以避免網關進行日志記錄。
(5)API Token 和 API Secret 沒有保護好
如果黑客能夠獲得客戶甚至超級用戶的API Token 和 API Secret ,資金的安全就成為問題。
沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。
瑞士央行副行長Zurbruegg:目前不考慮發行官方數字貨幣:瑞士央行副行長Zurbruegg指出,數字貨幣不會很快取代現金,目前持有現金的機會成本比較低。瑞士央行對現金和無現金支付一視同仁,目前不考慮發行官方數字貨幣。[2018/2/14]
5 假充值問題
(False Top-up)
假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題
6 交易所熱錢包存儲過多資金,成為黑客目標
交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:
惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。
數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。
IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。
員工監守自盜 。前雇員在離職后通過在職時留下的后門進行資產轉移。
7 51%攻擊
(也可以稱為硬分叉攻擊,或者雙花攻擊)
51%攻擊,又被稱為Majority attack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。
8 不安全的文件處理
這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC(實名驗證)文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。
9 DNS域名劫持
(DNS domain name hijacking)
DNS 服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。
劫持訪問需求有多種方式:
利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞(BGP協議對于兩個已經成功建立BGP連接的AS來說,基本會無條件的相信對方AS所傳來的信息,包括對方聲稱所擁有的IP地址范圍),將受害者的流量截獲,并返回錯誤的DNS地址和證書。
劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。
遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。
入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。
上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。
10 第三方安全
使用第三方服務的時候:
因為交易所使用第三方服務自行配置錯誤導致被黑;
因為第三方服務自身漏洞導致交易所被黑;
因為第三方服務被利用來釣魚投投馬導致交易所被黑;
因為第三方服務被黑導致交易所被黑。
[原創作者]鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦(按拼音字母排序)
[審核專家]陳大宏、趙勇
比特幣的每日支付數量達到了歷史新高--而內存池(mempool)仍然出奇的平靜。原因是通過批處理,區塊鏈上的空間利用效率越來越高.
1900/1/1 0:00:001.2021最具爭議的以太坊EIP-1559提案:不亞于比特幣區塊擴容?1月22日消息,以太坊開發者DannyRyan表示,以太坊改進提案EIP-1559預計將于今年推出.
1900/1/1 0:00:00流動性對所有 dapp (去中心化應用)的創建和發展至關重要。DeFi 夏日狂潮過后,NFT 的發展成為焦點。它們之間的聯系遠比一些人想象的還要緊密.
1900/1/1 0:00:00最近美國金融監管的政策已經明確表明鼓勵市場中美元穩定幣的發展。鑒于目前市場中對于美元穩定幣的需求,所以預計美元穩定幣一定會迅速的發展起來.
1900/1/1 0:00:002020年,Ripple Labs在美國花費了69萬美元進行游說,但這仍未能將公司從美國證券交易委員會中拯救出來.
1900/1/1 0:00:00文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00