數字貨幣交易所TOP10安全風險,你了解多少個?
TOP10
CSA GCR 區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。
1 高級長期威脅
(APT:Advanced Persistent Threat)
風險描述
高級長期威脅(英語:Advanced Persistent Threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0 day 漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore(也被稱呼為:Crypto-gang”,“Dangerous Password”, “Leery Turtle”大概成功盜取2億美金)和 Lazarus(大概盜取5億美金)。
行情 | 區塊鏈板塊收跌0.14%,數字貨幣板塊收跌0.33%:A股收盤,上證指數收跌0.13%,區塊鏈板塊收跌0.14%,數字貨幣板塊收跌0.33%。區塊鏈板塊中197只概念股中,87只上漲,102只為跌,8只平盤,其中東旭藍天跌停;數字貨幣板塊31只概念股中,18只上漲,12只為跌,1只平盤,其中瀚葉股份跌停。[2019/11/27]
2 分布式拒絕服務
(DDOS)
分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊(DoS)的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。
動態 | 眾應互聯:公司子公司數字貨幣交易所平臺已具備落地能力,正申請政府許可:據新浪財經消息,近日在回答投資者提問時,眾應互聯(00246.SZ)官方表示公司目前不涉及區塊鏈方面的業務,公司子公司MMOGA平臺具備比特幣支付功能,專門為正版授權/注冊碼及游戲虛擬物品提供相關交易服務,公司子公司數字貨幣交易所平臺已完成了主要功能的技術研究,具備落地的能力。當前是在申請政府許可過程中。[2019/9/24]
3 內鬼監守自盜
(Insider Attack)
交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。
4 API 安全風險問題
交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:
(1)沒有身份驗證的API
動態 | 巴哈馬有線電視及電話公司宣布接受巴哈馬央行數字貨幣支付:據The Nassau Guardian消息,巴哈馬有線電視公司Cable Bahamas和電話公司Aliv Bahamas宣布接受巴哈馬央行數字貨幣Sand Dollar支付。此前3月4日消息,巴哈馬中央銀行宣布試點“沙元計劃”(Project Sand Dollar),該計劃旨在為巴哈馬即將推出的央行數字貨幣服務。[2019/3/20]
API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制(例如OAuth / OpenID Connect)以及傳輸層安全性(TLS)至關重要。
(2)代碼注入
這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。
(3)未加密的數據
僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如Data Masking, Data Tokenization, XML Encryption 等等。
數字貨幣公司廣泛征招政府機構執法者:據雅虎財經消息,華爾街的執法者紛紛開始加入數字貨幣行業。數字貨幣公司招聘最多的員工并不是千禧一代,而是前監管機構和其他政府部門工作人員。這一做法可以幫助他們避免或準備更嚴格的規定。風險投資公司已經收購了前檢察官、國家安全官員及前高級外交官等,這些人在國家決定是否接受或取締數字貨幣時,可能會提供幫助。[2018/2/27]
(4)URI中的數據
如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭(Message Authorization Header)發送,因為這樣做可以避免網關進行日志記錄。
(5)API Token 和 API Secret 沒有保護好
如果黑客能夠獲得客戶甚至超級用戶的API Token 和 API Secret ,資金的安全就成為問題。
沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。
高盛入股的Circle Internet每月處理20億美元數字貨幣資產:上周,高盛CEO否認了將推出數字貨幣交易所的計劃,不過之后可能朝這個方向發展。然而據Quartz消息,高盛于2015年投資了Circle網絡金融公司。該公司最開始的業務為方便用戶轉移和接收比特幣,而它的第二個產品Circle Trade是為包括比特幣在內的數字資產的流通量提供者,每月處理價值20億美元的交易。[2018/2/1]
5 假充值問題
(False Top-up)
假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題
6 交易所熱錢包存儲過多資金,成為黑客目標
交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:
惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。
數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。
IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。
員工監守自盜 。前雇員在離職后通過在職時留下的后門進行資產轉移。
7 51%攻擊
(也可以稱為硬分叉攻擊,或者雙花攻擊)
51%攻擊,又被稱為Majority attack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。
8 不安全的文件處理
這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC(實名驗證)文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。
9 DNS域名劫持
(DNS domain name hijacking)
DNS 服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。
劫持訪問需求有多種方式:
利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞(BGP協議對于兩個已經成功建立BGP連接的AS來說,基本會無條件的相信對方AS所傳來的信息,包括對方聲稱所擁有的IP地址范圍),將受害者的流量截獲,并返回錯誤的DNS地址和證書。
劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。
遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。
入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。
上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。
10 第三方安全
使用第三方服務的時候:
因為交易所使用第三方服務自行配置錯誤導致被黑;
因為第三方服務自身漏洞導致交易所被黑;
因為第三方服務被利用來釣魚投投馬導致交易所被黑;
因為第三方服務被黑導致交易所被黑。
[原創作者]鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦(按拼音字母排序)
[審核專家]陳大宏、趙勇
金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:001月21日,幾名Yearn.finance(YFI)社區成員發起了一項增發提案。提案主張,增發6666枚YFI,其中1/3用于獎勵主要貢獻者,另外2/3納入財政庫用于未來的支出和發展.
1900/1/1 0:00:00后疫情時代的逆全球化趨勢導致的國際宏觀政策協調動力下降和全球產業鏈分工面臨重整,科技創新將成為作為新周期中的主要推動因素.
1900/1/1 0:00:00上周Coinbase公布消息稱將會通過直接上市(DPO)的方式成為上市公司,幾乎同時間,灰度宣布新注冊UNI信托基金產品.
1900/1/1 0:00:00火幣生態鏈Heco挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解項目的頭礦信息和挖礦流程,金色財經推出《“頭礦”預告》.
1900/1/1 0:00:00日 本:實證實驗春季啟動日本央行計劃于2021年春季開始數字貨幣的實證實驗。設想分為3個階段。其中,第一階段的主要工作是建立基本功能。第二階段是開展更加復雜條件下的功能測試.
1900/1/1 0:00:00