API:数字货币交易所安全事件频发 10大安全风险你了解多少？

数字货币交易所安全事件频发10大安全风险你了解多少？

云安全联盟CSA

刚刚

20

数字货币交易所TOP10安全风险，你了解多少个？

TOP10

CSAGCR区块链安全工作组交易所安全小组对于过去几年交易所发生的安全事件进行了分析，按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。

1?高级长期威胁

风险描述

高级长期威胁，又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞，并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会，再利用0day漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore和Lazarus。

新加坡金管局局长：每个国家研发央行数字货币可能会有不同的动机:在第十二届陆家嘴论坛上，新加坡金管局局长孟文能表示，大家现在对央行数字货币本身非常激动，但更应该关注的是其使用场景，每个国家研发央行数字货币可能会有不同的动机，例如瑞典计划开始测试的电子克朗主要用于零售支付，而柬埔寨计划发行的央行数字货币则是为了促进金融包容，现在中国和新加坡探讨中国游客境外使用央行数字货币的可能。新加坡自2016年开始打造的央行数字货币项目Ubin，则聚焦于跨境支付结算和证券结算，以降低跨境交易成本，使得跨境的资金流通安全、便宜甚至免费。（财新）[2020/6/18]

2?分布式拒绝服务

风险描述

分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。

行情 | A股收盘：区块链板块收跌1.10%，数字货币板块收涨2.48%:A股收盘，三大股指均出现下跌，上证指数收跌0.87%，区块链板块收跌1.10%。数字货币板块收涨2.48%。区块链板块中182只概念股中，53只上涨，126只为跌。3只平盘。其中有24只个股涨停。4只个股跌停。涨幅前三为：新华网（+5.53%）、美盈森（+4.83%）、久其软件（+4.19%）；跌幅前三为：北信源（-8.29%），科蓝软件（-8.21%），思特奇（-7.44%）。

数字货币板块24只概念股中，15只上涨，一只平盘，8只下跌。其中6只个股涨停，无跌停个股。朗科科技下跌居首位，下跌（-5.89%）。[2019/10/29]

3?内鬼监守自盗

风险描述

交易所内部人员利用公司内部安全流程的漏洞，监守自盗；或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。

4?API安全风险问题

风险描述

交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好，黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下：

动态 | 汇金股份：尚不确定公司目前研发的区块链技术能否应用于数字货币:汇金股份（300368.SZ）近日官方发表声明称，2018年公司年报披露的《基于区块链的货币交接系统的研究及开发 》项目主要是：货币（人民币）的实物与匹配冠字号的同步封装并按照要求上传三方开发的区块链的货币交接系统；项目最终以二维码（货币封装标记）及特定FSN（人行冠字号封装标准）文件方式完成货币及封装信息的同步交接，该项目目前应用功能为现钞封装形成的实物流与冠字号信息流匹配，该技术或其衍生升级技术未来是否能应用于数字化货币尚不确定。公司将密切关注数字货币相关技术的发展，以及相关产业和政策的落地和实施，积极把握数字货币带来的发展机遇。（新浪财经）[2019/10/16]

没有身份验证的API

API必须有身份验证和授权机制。符合行业标准的身份验证和授权机制以及传输层安全性至关重要。

代码注入

这种威胁有多种形式，但最典型的是SQL，RegEx和XML注入。在设计API时应了解这些威胁并为避免这些威胁而做出了努力，部署API后应进行持续的监控，以确认没有对生产环境造成任何漏洞。

声音 | 李启威：要小心那些算力容易被租赁的数字货币:莱特币创始人李启威今日发推表示：要小心那些在各自的算力中不占主导地位的数字货币，特别是那些很容易租赁算力（NiceHash-able）挖掘的。ETC有98%的算力可以通过租赁获得，1小时的攻击花费只有5000美元，收入很容易就翻倍。[2019/1/8]

未加密的数据

仅仅依靠HTTPS或者TLS对于API的数据参数进行加密可能不够。对于个人隐私数据和资金有关的数据，有必要增加其他在应用层面的安全，比如DataMasking，DataTokenization,XMLEncryption等等。

URI中的数据

如果API密钥作为URI的一部分进行传输，则可能会受到黑客攻击。当URI详细信息出现在浏览器或系统日志中时，攻击者可能会访问包括API密钥和用户的敏感数据。最佳实践是将API密钥作为消息授权标头发送，因为这样做可以避免网关进行日志记录。

APIToken和APISecret没有保护好

美联储理事：数字货币带来严峻挑战:据外媒报道，美联储理事莱尔·布伦纳德（Lael Brainard）周二表示，数字货币带来了“严峻”挑战。她同时否认了美联储进入这个领域的可能性。这或许是到目前为止，美联储对加密货币发表的最严厉的批评。

布伦纳德在旧金山的美联储会议上表示：“没有任何已得到证明需求，表明美联储应当发行数字货币。尽管由央行发行数字货币可能能解决数字货币目前面临的一些问题，但数字货币还面临其他重大挑战，包括信息安全、反，以及零售金融系统。”[2018/5/16]

如果黑客能够获得客户甚至超级用户的APIToken和APISecret，资金的安全就成为问题。

没有对于API的使用进行有效的检测，黑客可能利用API进行多账户、多笔的转账。API的实时安全检测如果不能判断这种攻击，就会有损失。

5?假充值问题

风险描述

假充值是指链上逻辑错误或交易所链上链下对接的时候，对交易的检验不够严谨导致的错误入账的问题

6?交易所热钱包存储过多资金，成为黑客目标

风险描述

交易所热钱包存储过多资金，成为黑客目标，这个风险与交易所热钱包有关的IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击：

恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击，借此收集用户的登陆凭据。

数据库被攻击导致私钥泄露。交易所数据库中存放其热钱包私钥，黑客对数据库进行攻击，获取到数据库数据后通过数据库存放的私钥进行转账。

IT系统漏洞。交易所自身系统存在漏洞，黑客通过其自由漏洞获取IT系统控制权后，直接通过IT系统进行转账。

员工监守自盗。前雇员在离职后通过在职时留下的后门进行资产转移。

7?51%攻击

风险描述

51%攻击，又被称为Majorityattack。这种攻击是通过控制网络算力实现双花。如果攻击者控制了网络中50%以上的算力，那么在他控制算力的这段时间，他可以将区块逆转，进行反向交易，实现双花。对同一笔交易进行双重花费甚至回滚以往的历史交易。

8?不安全的文件处理

风险描述

这种风险与文件的不安全处理有关系。包括下载外部电子邮件的链接或者附件，也就是传统意义上的钓鱼攻击；也包括对于交易所用户上载的KYC文件没有经过安全处理。恶意代码隐藏图像中，这种方式也称呼为隐写术（Steganography)，攻击者将恶意代码与指令隐藏在看似无害的图像之中伺机执行，这种风险与APT风险有一定的关系。一般来说，单单一封邮件无法对你实施攻击，一定要以邮件为基础，在此之上产生别的交互才可以，比如说点击链接后输入内容，运行/打开文件，当需要以上动作时，便存在风险。

9?DNS域名劫持?

风险描述

DNS服务是互联网的基础服务，在DNS查询中，需要有多个服务器之间交互，所有的交互的过程依赖于服务器得到正确的信息，在这个过程中可能导致访问需求被劫持。

劫持访问需求有多种方式：

利用路由协议漏洞，在网络上进行DNS域名劫持。如BGP协议漏洞，将受害者的流量截获，并返回错误的DNS地址和证书。

劫持者控制域名的一台或多台权威服务器，并返回错误信息。

递归服务器缓存投，将大量有数据注入递归服务器，导致域名对应信息被篡改。

入侵域名注册系统，篡改域名数据，误导用户的访问。

上述的攻击行为都会将用户的访问重定向至劫持者控制的一个地址。使用一个假冒的证书让不明真相的用户登陆，如果用户无视浏览器的证书无效风险警告，继续开始交易，就会导致钱包里的资金被盗。

10?第三方安全

风险描述

使用第三方服务的时候：

因为交易所使用第三方服务自行配置错误导致被黑；

因为第三方服务自身漏洞导致交易所被黑；

因为第三方服务被利用来钓鱼投投马导致交易所被黑；

因为第三方服务被黑导致交易所被黑。

邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦

陈大宏、赵勇

安全问题

交易所

本文来源：

云安全联盟CSA

文章作者：区块链安全工作组

我要纠错

声明：本文由入驻金色财经的作者撰写，观点仅代表作者本人，绝不代表金色财经赞同其观点或证实其描述。

提示：投资有风险，入市须谨慎。本资讯不作为投资理财建议。

金色财经>区块链>数字货币交易所安全事件频发10大安全风险你了解多少？

标签：数字货币API区块链DOS数字货币被最好的解决办法FinShi Capital区块链专业好不好就业eidos币最新消息

芝麻开门交易所热门资讯