交易所接連被黑的防御建議：早發現、早預警、早止損_OIN

編者按：本文來自

慢霧科技

，作者：慢霧安全團隊，Odaily星球日報經授權轉載。

!webp\"data-img-size-val=\"710,400\"width=\"710\"\u002F\\>

近期多家數字貨幣交易所接連被黑，慢霧安全團隊在跟蹤分析攻擊樣本后發現其中一個重要的攻擊手法為

APT(AdvancedPersistentThreat：高級持續性威脅)攻擊

。結合從各慢霧區伙伴獲取到的情報信息以及攻擊樣本分析得出結論為：

「職業黑客開始針對數字貨幣交易所開啟了定向打擊。」

這些攻擊者往往是團隊作戰，會對目標“獵物”進行持續數月的、廣泛性的釣魚、誘捕、投放等攻擊過程。針對數字貨幣領域，業務場景有許多共性，比如Mac電腦使用居多，云服務如AWS、Google云、阿里云，郵箱服務如騰訊企業郵箱、Gmail等，攻擊者會針對性準備特殊木馬，以量化、搶額度、薅羊毛等幣圈熱點進行誘導性攻擊，這是一種典型的APT攻擊過程，雖然不一定要用到特別高級的手法。

哈薩克斯坦交易所Intebix為未列入制裁名單的俄羅斯公民提供服務:10月20日消息，盡管西方最近對俄羅斯實施制裁，但一些加密貨幣交易所仍繼續為俄羅斯公民提供服務，但也有某些限制條件。

哈薩克斯坦交易所Intebix聯合創始人兼首席執行官Talgat Dossanov稱，Intebix不僅限于哈薩克斯坦公民使用，其交易所愿意為來哈薩克斯坦的外國人提供服務。他強調，Intebix的加密交易只有歐亞銀行（Eurasian Bank）等哈薩克斯坦銀行的持卡人才能使用。

Dossanov指出，Intebix只支持經過驗證的客戶進行加密交易，而當地銀行則仔細檢查每個潛在客戶是否受到制裁。Intebix歡迎未列入制裁名單的俄羅斯公民，但他們需要通過深入的合規檢查，并在歐亞銀行開立賬戶，才能執行加密貨幣到法定貨幣的交易。（Cointelegraph）[2022/10/20 16:32:30]

由于在上一輪牛市中，數字貨幣交易所瘋狂擴張，安全、技術團隊沒有跟上交易所的快速發展，在預警、風控技術方面較為薄弱。在面對這種職業黑客的攻勢時沒有什么經驗，可能因此導致遭受巨額損失。

億邦國際計劃開設加密貨幣交易所:在億邦國際成功登陸納斯達克后，該公司成功披露下一步業務擴張計劃，主要包括：1、通過繼續制造比特幣挖礦設備來填補加密貨幣行業中一個更加獨特的利基行業領域；2、建立一個加密貨幣交易平臺；3、進軍礦場行業實現多元化經營。此外，億邦國際還打算探索如何將區塊鏈技術應用于“金融服務，教育和醫療保健行業”。據悉，赴美上市應該是億邦國際擴張計劃的基礎，因為成功在納斯達克上市代表億邦國際應該能夠嚴格控制交易的合規性和安全性。據悉，億邦國際已經在上市文件中披露了在“海外司法管轄區”建立加密貨幣交易所的情況，盡管億邦國際公司身處在禁止加密貨幣交易的中國，但他們的控股公司 Ebang International Holdings Inc.卻是在開曼群島注冊的。（Cointelegraph）[2020/6/27]

慢霧安全團隊建議各方交易所加強安全建設，做好風控和內控安全做到：

805.5萬枚USDT轉入Poloniex交易所，價值805.8萬美元:據WhaleAlert數據，北京時間03月14日14:15，805.5萬枚USDT從TWn3P2開頭地址轉入Poloniex交易所，按當前價格計算，價值約805.8萬美元，交易哈希為：922b2a93cccd32f7b635d0f0ba3af23fa198c6a20f712d99f7c5585b36a135fb。[2020/3/14]

“早發現，早預警，早止損。”

早發現

(1)服務器異常登陸早發現

(2)服務器端口異常開放早發現

(3)服務器配置被修改早發現

(4)交易所收益異常早發現

(5)交易所零錢歸集異常早發現

動態 | ABBC基金會將對土耳其數字資產交易所Sistemkoin采取法律行動:ABBC基金會將對土耳其數字資產交易所Sistemkoin采取法律行動。2018年9月，ABBC代幣上線Sistemkoin。ABBC團隊稱，幾個月后，一名用戶通過電子郵件通知他們，他不能在該交易所提取ABBC。Sistemkoin方面聲稱，其交易所內的ABBC遭到了黑客攻擊。他們要求ABBC必須存入等量被盜的ABBC，以恢復ABBC的兌換。此后，Sistemkoin又在沒有通知ABBC團隊的情況下，于去年12月將ABBC從其平臺上撤下。（AMBCrypto）[2019/12/2]

(6)交易所對賬異常早發現

(7)冷、溫、熱錢包地址被篡改早發現。

(8)陌生郵件不要輕易打開，郵件中的文件下載和鏈接隨便點擊打開

(9)工作或個人電腦不要直接安裝陌生軟件

早預警

(1)交易所大額充值早預警

(2)交易所大額提幣早預警

(3)交易所多賬號異常登陸早預警

(4)交易所熱錢包突然異常被提空早預警

(5)發現團隊收到異常郵件和文件及時內部通知預警，做好安全意識培訓，做好預警演練

早止損

(1)熱錢包提空后及時對賬有無異常，確認無異常后再次轉入

(2)當系統預警內部告警后能夠全自動攔截大額提幣，并且只能通過人工確認無誤后放行

(3)勤對賬及時發現賬目異常，對賬異常后及時關閉沖提止損

針對APT攻擊的詳細分析我們也看到了同行的一些分析，可以作為擴展參考：

https:\u002F\u002Fwww.zdnet.com\u002Farticle\u002Fnorth-korean-hackers-continue-attacks-on-cryptocurrency-businesses\u002F

https:\u002F\u002Fmp.weixin.qq.com\u002Fs\u002FRjOzQm2ALrGkBA40Re0F1g

不過，以我們所掌握的情報來看還遠不止于此，在真實攻擊場景下，我們還發現一些非常具有區塊鏈技術特點的攻擊手法，比如“假充值攻擊”，且已經造成巨額損失。這類攻擊手法不一定來自傳統職業黑客，可能來自區塊鏈技術領域新的黑客。由于一些保密要求，我們不做具體細節披露，但在此我們需要再次發出預警：警惕曾經披露的假充值攻擊，也警惕最近新起公鏈的假充值可能性。

歷史上我們披露過USDT假充值、EOS假充值、XRP假充值、ERC20Token假充值等，相關資料如下，可以作為細節參考：

(1)USDT假充值：

https:\u002F\u002Fmp.weixin.qq.com\u002Fs\u002FCtAKLNe0MOKDyUFaod4_hw

(2)EOS假充值：

https:\u002F\u002Fmp.weixin.qq.com\u002Fs\u002FfKINfZLW65LYaD4qO-21nA

(3)XRP假充值：https:\u002F\u002Fdevelopers.ripple.com\u002Fpartial-payments.html

(4)以太坊代幣假充值：

https:\u002F\u002Fmp.weixin.qq.com\u002Fs\u002F3cMbE6p_4qCdVLa4FNA5-A

除了這些，需要特別注意：對于新上線的公鏈假充值問題也保持警惕，新事物在安全策略上不一定很完善，在對接時應該做好緊密細致的技術和業務對稱，并做好充足的安全測試。

以我們的經驗來看，數字貨幣領域，雖然在熊市，但攻擊者的屠戮步伐從未停止。攻防對抗下，當下的防守方處于絕對的弱勢，無論傳統職業黑客還是新型黑客，攻擊手法會從單一走向組合拳，這對于數字貨幣相關項目方來說是個嚴峻且急迫的挑戰。我們不希望危言聳聽，但大家會持續看到一個個倒下的案例，這是“屠戮者”前進的步伐。

Tags：BBCABBCINTOINbbc幣現在出現了什么問題abbc幣怎么樣CoinTiger幣虎Krosscoin

比特幣價格