如何保護加密貨幣免受Web威脅和DDoS攻擊_CAP

編者按：本文來自頭等倉區塊鏈研究院，Odaily星球日報經授權轉載。截至2018年3月，流通中的加密貨幣達1000多種，總市值超過4000億美元，而一年前僅為190億美元。雖然加密貨幣的底層區塊鏈技術在大多數情況下是天生安全的，但隨著采用的迅速增加，了解加密貨幣易受攻擊的弱點，以及生態系統的不同參與者如何保護自己的投資變得非常緊迫。本文將幫助參與者理解加密貨幣的漏洞，提高安全性，包括：ICO發行人，投資者在其網站上發送他們的貨幣。通常持有和交易數百萬美元的資產的加密貨幣交易所的運營商。選擇交易所的加密貨幣所有者，保護他們的加密貨幣錢包。新興加密貨幣行業的弱點

以下是加密貨幣生命周期中安全面臨風險的一些關鍵階段：ICO發行人的網站可能會受到攻擊，從而干擾發行和之后對加密貨幣的支持。有一個案例，發行網站被黑客攻擊，更改了發送投資的地址，從而轉移了部分發行資產。ICOs網站一直受到DDoS攻擊，使其無法使用，并使ICO遭到了破壞。在任意時間點都持有數百萬美元的資產的加密貨幣交易所，實時交易大量資產。這些網站可能會被交易淹沒或被攻擊。在某些情況下，DDoS攻擊會導致交易所在一段時間內不可用。加密貨幣錢包：必須選擇一個交易所的加密貨幣的所有者，以及保護他們加密貨幣的錢包。黑客使用竊取的證書或釣魚攻擊的證書填充技術，竊取私人和在線錢包的資金。初始代幣發行

YFII社區發起YIP-5實施方案的投票，將決定如何使用5%的利潤:YFII社區發起一項關于實施YIP-5提案（5%利潤用作循環挖礦）的方案的投票。目前一共有3種方案供選擇，方案1是5%的利潤全部用于YFII或者iYFII/YFII LP的激勵，方案2是5%中大部分用于YFII相關激勵，少部分用于iToken的激勵，方案3是5%中少部分用于YFII相關激勵，大部分用于iToken的激勵。這三種方案中此前討論支持率最高的是方案1。投票從今天下午5點30分開始，持續72小時。[2020/9/29]

服務于加密貨幣的網站或移動應用程序就與普通網站一樣易受攻擊，對攻擊者來說，它們是一個個特別誘人的目標。ICO網站遭到攻擊，推遲發行，甚至被抽走了部分發行的加密貨幣。在一種情況下，攻擊者使用丑化攻擊將官方貢獻地址轉換為攻擊者的匿名地址。結果，Ether被重定向到錯誤地址幾分鐘。ICO也經常受到大容量網絡或應用層DDoS攻擊。由于交易量龐大，ICO網站需要采取以下措施來提供高水平的保護：身份驗證：通過要求強密碼和雙因子身份驗證，防止未經授權的訪問者進入。在失敗的登錄嘗試中，不要透露多于所需的信息，例如登錄的哪一部分是不正確的。更新軟件和操作系統：許多運行站點的軟件應用程序可能存在漏洞。保持所有軟件的最新版本和補丁，防止出現漏洞。驗證客戶端輸入和服務器上的所有輸入。防止惡意內容的注入，比如SQL注入和跨站點腳本。有關web漏洞的更多信息，請參閱OWASP前10。加密：整個網站使用HTTPS。限制對管理頁面的訪問：只允許選定的管理用戶訪問站點管理url。最重要的是，使用企業級web應用程序防火墻保護站點。WAF將防止所有web應用程序攻擊，并控制對站點和應用程序的訪問。貨幣交易所

聲音 | Ripple CEO：正與監管機構會面解釋如何使用加密技術:Ripple CEO Brad Garlinghouse在接受采訪時表示其正在告訴銀行，“加密不是一個壞詞”。他稱，“我正在做很多事情是與監管機構、銀行高層會面，向他們解釋如何使用加密技術，特別是XRP來解決實際問題，而不是規避監管。一旦人們理解了這一點，他們很快就會解除武裝，加密這個詞就不再是一個貶義詞”。（CoinTeleraph）[2020/2/20]

想要購買或交易加密貨幣的人有眾多交易所供他們挑選，交易所的安全措施和可用性是必需考慮因素，確保存儲的資產得到保護，潛在的交易不受交易所意外延遲的影響。這種延遲可由下列原因引起：DDoS攻擊，導致交易所在一段時間內無法進行交易。站點無法處理大量的干凈交易，例如數據庫超載或服務器資源超載，從而導致服務降級。據Incapsula網站最新發布的《全球DDoS威脅狀況報告》報道，使用其服務的加密貨幣網站位居最易受DDoS攻擊的十大行業之列。雖然Incapsula網站順利規避了這些攻擊，但也有一些關于加密貨幣交易所的破壞性攻擊的報道。過去幾個月，上面兩種情況都出現過，而且隨著對加密貨幣的需求不斷增長，這種情況可能會繼續下去。此外，交易所也是攻擊的一個關鍵目標，因為它們充當了錢包的角色，在任意時間點都可能存入價值數億美元的加密貨幣。因此，請選擇具有可用和安全記錄的交易所。API通常是加密貨幣交易所網站的弱點，因為它們的有效負載結構通常是專有的，這使得很難識別惡意速率或有效負載。因此，它們經常成為DDoS或其他攻擊的載體。要提供預期的服務級別，交易所必須考慮以下措施來降低服務降級的風險：提供足夠的帶寬以滿足需求。在一個需求迅速增長的市場中，增加帶寬可能是一個持續的挑戰。除了這個挑戰之外，不太可能減輕我們正在目睹的大規模DDoS攻擊。監控流量，檢測網站何時受到DDoS攻擊。識別和過濾流量，例如來自已知攻擊地址、已知機器人代理或已知的主要攻擊源的流量，檢測和阻止惡意用戶。保護帳戶承受攻擊，例如使用證書填充，提供如ICO網站所述的強大的網絡保護。識別和過濾來自單個源或用戶會話、已知應用程序簽名和不符合已知HTTP協議的流量的過多請求，檢測和阻止惡意應用層請求。保護你的API，因為檢查其有效負載的合法性比較困難。它們可能由于誤報而無效，或者相反，支持載體攻擊。由于難以有效地實現這些措施，交易所可以實現提供所需服務水平的服務，防止這些攻擊。貨幣錢包

新華網分析：區塊鏈如何帶來個人數據保護“革命”:新華網今晚發表文章《區塊鏈如何帶來個人數據保護“革命”》，文章表示大數據時代，個人的數據被認為是黃金般珍貴。個人數據泄漏令人擔憂，但絕大部分人不可能因為害怕數據被收集而切斷與互聯網的聯系，而現階段有責任保管個人信息的企業、學校、酒店、社交網站等往往擔責不力。專家們認為，區塊鏈技術作為一種帶有加密、信任、點對點、難篡改等特征的“中間件”，有望解決這個難題。

區塊鏈技術的出現令個人數據掌控權從互聯網公司轉移到用戶自己手中，使人人掌控自己的個人數據成為可能。通過它，用戶個人數據可以與個人數字身份證相關聯，用戶可以選擇數字身份證是匿名、化名或公開，還可以隨時隨地從任何設備訪問區塊鏈應用平臺，控制他們的互聯網個人數據。[2018/4/18]

購買加密貨幣后，它會存儲在你的數字錢包里。這樣，你可以接收和發送你喜歡的加密貨幣。錢包存儲私鑰，私鑰表示對區塊鏈中一定數量貨幣的公鑰的所有權。由于不能重新創建私鑰，丟失密鑰就等于丟失了加密貨幣。如果有人獲取了密鑰，他就可以訪問加密貨幣。因此，錢包的安全存儲性能非常重要，錢包的選擇也很重要。就像你可以在不同的地方儲存現金，例如錢包或你的口袋，銀行或保險箱。以下是幾種存儲加密貨幣的錢包類型：軟件錢包：提供訪問加密貨幣的桌面或移動應用程序。由于只能從安裝錢包的設備訪問錢包，軟件錢包具有高水平的安全性。但是，如果設備出現了問題，你可能無法檢索自己的私鑰，從而丟失貨幣。在線錢包：在線錢包存儲在一個網站上，和其他存儲在云中的數據一樣，可以從任何設備訪問錢包。然而，這可能更容易受到攻擊，取決于第三方提供的安全性。資產被盜往往是證書填充的結果。從知名或不為人所知的網站竊取的用戶名和密碼在“暗網”上出售，通常是由僵尸網絡在登錄頁面上填充，直到用戶名/密碼組合生效。硬件錢包：指用于在本地存儲密鑰的專用物理設備，安全性最高。要使用這款錢包，用戶只需將硬件錢包插入一個可上網的設備，輸入錢包的pin，然后進行交易。我們建議采用以下步驟，保護你的加密貨幣：

雕爺：區塊鏈將如何改變世界:在幣圈近期比較火的陳偉星和朱嘯虎的口水戰中，雕爺被一些人當成了“導火索”。雕爺對此作出了回應，他對于區塊鏈的態度十分中立，同時他也承認，自己在2014年就擁有比特幣。雕爺在自己的公眾號中闡明了自己的看法：區塊鏈可以傳遞原本無法分割的價值，區塊鏈創造價值必須依附于已經能夠真實創造價值且可以被驗證的商業場景。雕爺還稱，現在有大量資金涌入區塊鏈行業，一年后則會留下一些認真辦事的人。所以現在是投身區塊鏈行業的好時機，一年后也是。[2018/2/25]

在線小額：就像你通常不會在口袋里放幾千美元一樣，盡量減少你在電腦或移動設備中保存的加密貨幣數量。維持日常使用所需的金額，以便容易訪問資金，并在更安全的環境中保持余量資金。備份：無論你使用哪種類型的錢包，確保所有的備份都是安全的。請記住，如果你丟失了錢包私鑰，你就丟失了加密貨幣。在不同的安全位置對不同類型的設備進行多次備份，增加各種恢復路徑。加密：用你永遠不會忘記的密碼加密你的錢包。考慮在安全的地方保存一份密碼副本，比如保險庫。在你的環境中，采用額外安全層，例如登錄和交易進行雙因子身份驗證。防止惡意軟件和使用病防護保護環境。使用推薦的錢包：如果你使用的是在線錢包，要謹慎選擇一個在安全服務方面享有聲譽的錢包。考慮使用一個與你交易所集成的錢包。使用唯一密碼，不要在其他網站使用，否則可能會導致未報告的證書被盜。Incapsula保護

比特幣如何被盜：5種常見威脅:1、小偷在存儲服務中獲取您的帳戶的密碼；2你公開你的私鑰；3、黑客冒充比特幣收件人；4、你依靠一個不安全的第三方；5、出口騙局。[2017/12/9]

創建一種新貨幣和建立一個交易所是一項復雜的業務。Incapsula網站保護和DDoSmitigation可以保護你的網站免受最先進的網站攻擊、DDoS和帳戶接管攻擊。Incapsula可以為你提供額外的基于云的負載平衡和故障轉移或傳遞規則解決方案，使你的網站在操作方便的情況下最大化可用性。Web應用程序防火墻

Incapsula網站的網絡應用程序防火墻，連續四年被Gartner評為領先的WAF，它可以分析所有用戶對你的網絡應用程序的訪問，保護你的應用程序免受網絡攻擊，同時確保特定的技術，比如網絡sockets不會被破壞。它可以防止所有web應用程序攻擊，包括OWASP十大威脅，并阻止惡意程序。Incapsula還可以根據各種因素過濾流量，從而控制哪些訪問者可以訪問你的應用程序。WAF分析web應用程序的各個方面，檢測攻擊，例如防止依賴于跨站點腳本的站點損壞攻擊。有了這種保護，你的站點就可以避免惱人的驗證請求，如驗證碼、電子郵件確認或許多站點流行的雙因子身份驗證。DDoS保護

為了保護加密貨幣交易所和基礎網站，Incapsula網站的DDoS保護會自動檢測并減輕針對網站和網絡應用程序的攻擊。Incapsula網站是唯一提供SLA保證的網站，能在10秒內發現并阻止攻擊。我們新的Behemoth2平臺阻止了650Gbps的DDoS泛濫，流量超過150Mpps，還有剩余容量。我們預計，隨著攻擊規模的不斷擴大，容量會得到進一步的測試。除了處理大容量攻擊外，Incapsula網站還專門針對這些類型的DDoS攻擊提供保護。復雜應用程序，或第7層，攻擊web服務器上的應用程序。這些攻擊需要更小的容量才能生效，以每秒的數據包來衡量，但更難以檢測。ForresterWave報告說，Imperva在檢測和減輕應用層攻擊的能力上首屈一指。由大量請求組成的大規模攻擊，這些請求通過許多站點提供的API進行編排。API流量以最小的誤報進行過濾。檢查這些實踐來保護你的API。CDN服務

內容分發網絡有效地解決了加密貨幣交易所的指數增長問題，并擴建他們的業務規模。除了DDoS服務保護，IncapsulaCDN網站還提供了以下服務，幫助提高重載下加密貨幣交易所的穩定性。全球內容分發網絡以其智能緩存和高速存儲和優化工具，提高網站的速度和性能。Incapsula網站部署了40多個pop后，大大提高了頁面加載時間。Incapsula云負載均衡能讓交易所輕松擴展，增加服務器和故障轉移數據中心，并在不停機的情況下從云添加傳輸和轉發規則。使用定義規則功能，保護證書填充和帳戶接管，為登錄頁面提供額外保護，防止僵尸程序執行證書填充。規避了加密貨幣域中的主要帳戶接管威脅，黑客在該域中使用竊取的證書進行欺詐。對付暴力攻擊的傳統安全措施，阻止來自給定IP的/登錄頁面的高速率請求。然而，最近有一些攻擊繞過了這類過濾器，以極低的速度在受感染的計算機中發送數千個僵尸程序。即使是在低速率情況下，IncapsulaCDN也可以防止攻擊，因為它可以阻止或增加任何到達/登錄頁面的非人類訪問的難度，而不會減慢頁面加載速度。高級機器人分類和規避使用高級規則API保護，極低的誤報率，同時保持高水平的保護，包括針對API的DDoS攻擊有了這些服務，你就可以確保站點始終可用。結語

加密貨幣的種類和數量在不斷增加，針對加密貨幣發起的攻擊，在規模、復雜性和頻率上都在不斷增加。相關機構必須了解對專用的和高級的WAF和DDoS保護服務的需求，將財務、操作和聲譽風險降至最低。本文概述的最佳做法將幫助各機構建立健全的規避戰略。這些措施包括監控應用程序和網絡流量、檢測和過濾惡意用戶以及識別和阻止惡意請求。

Tags：加密貨幣DOSDDOSCAP加密貨幣行情英為行情eidos幣怎么下架了DDOS幣CAPT幣

芝麻開門交易所下載