以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

API:數字貨幣交易所安全事件頻發 10大安全風險你了解多少?

Author:

Time:1900/1/1 0:00:00

數字貨幣交易所TOP10安全風險,你了解多少個?

TOP10

CSAGCR區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析,按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。

1?高級長期威脅

風險描述

高級長期威脅,又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出于商業或動機,針對特定組織或國家,并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞,并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會,再利用0day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore和Lazarus。

聲音 | 北理工計算機學院副院長:對待數字貨幣老百姓一定要有明確的判斷:據央視新聞消息,近日, 北京理工大學計算機學院副院長祝烈煌在接受采訪時表示,“有些數字貨幣,完全是重復抄襲原有的幣,甚至有的時候它只是一個概念,它連幣都沒實現,它只是一個白皮書,甚至只是一個PPT,這個情況都有的。這個肯定要抵制,也是我們要監管的一個重要方面。國家在這個方面也是限制的,所以說老百姓一定要擦亮眼睛,要有一個明確的判斷。”[2019/12/10]

2?分布式拒絕服務

風險描述

分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的,它利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝的策略來進行網絡攻擊,使網站服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較,分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。

行情 | 夜間數字貨幣行情播報:根據Huobi交易平臺數據顯示,BTC最新成交價格 10178.66 美元,最高價達 10322.68 美元,最低價格 9875.23 美元,成交量 2.40 萬,漲幅 3.02 %;ETH最新成交價格 217.11 美元,最高價達 224 美元,最低價格 210.59 美元,成交量 58.93 萬,漲幅 2.54 %;EOS最新成交價格 3.8959 美元,最高價達 3.9878 美元,最低價格 3.8589 美元,成交量 1,071.94 萬,漲幅 0.23 %。[2019/9/21]

3?內鬼監守自盜

風險描述

交易所內部人員利用公司內部安全流程的漏洞,監守自盜;或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。

4?API安全風險問題

風險描述

交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好,黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下:

聲音 | 中美交流基金會理事:人類生活在數字化時代 中國在數字貨幣等都走在前面:據騰訊財經報道,9月7日,由中國發展研究基金會主辦的中國發展高層論壇專題研討會在北京召開,中美交流基金會理事、弘毅投資董事長趙令歡對媒體表示,人類生活在數字化時代,而中國超越了所有國家,已經建立了最好的基礎設施,中國最值得重視的先進的地方是數字基礎設施、互聯互通基礎設施、老百姓的消費觀念,以及不管是數字貨幣,還是在新的時代里消費信息的使用和保護,包括怎么把互聯網用于發展國家目標,而不是倍加受發展困擾,這些中國都走在前面。[2019/9/8]

沒有身份驗證的API

API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制以及傳輸層安全性至關重要。

代碼注入

這種威脅有多種形式,但最典型的是SQL,RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力,部署API后應進行持續的監控,以確認沒有對生產環境造成任何漏洞。

行情 | 數字貨幣行情播報:根據Bitfinex交易平臺數據顯示,BTC最新成交價格 7,381.60 美元,最高價達 7,415.40 美元,最低價格 7,286.70 美元,成交量 2.05 萬,漲幅 0.06 %;ETH最新成交價格 284.61 美元,最高價達 293.04 美元,最低價格 282.20 美元,成交量 14.07 萬,跌幅 1.68 %;EOS最新成交價格 6.53 美元,最高價達 6.69 美元,最低價格 6.42 美元,成交量 543.00 萬,跌幅 0.93 %。[2018/9/5]

未加密的數據

僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據,有必要增加其他在應用層面的安全,比如DataMasking,DataTokenization,XMLEncryption等等。

URI中的數據

早間數字貨幣行情梳理:根據Bitfinex交易平臺數據顯示,

BTC最新成交價格41770.34元,最高價達42415.62,最低價格42881.74元,成交量0.61萬,漲幅1.02%;

ETH最新成交價格3017.15元,最高價達3031.51元,最低價格2990.70元,成交量1.88萬,漲幅0.01%;

BCH最新成交價格4912.80元,最高價達4979.46元,最低價格4840.46元,成交量0.52萬,漲幅0.89%。[2018/7/2]

如果API密鑰作為URI的一部分進行傳輸,則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時,攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭發送,因為這樣做可以避免網關進行日志記錄。

APIToken和APISecret沒有保護好

如果黑客能夠獲得客戶甚至超級用戶的APIToken和APISecret,資金的安全就成為問題。

沒有對于API的使用進行有效的檢測,黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊,就會有損失。

5?假充值問題

風險描述

假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候,對交易的檢驗不夠嚴謹導致的錯誤入賬的問題

6?交易所熱錢包存儲過多資金,成為黑客目標

風險描述

交易所熱錢包存儲過多資金,成為黑客目標,這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊:

惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊,借此收集用戶的登陸憑據。

數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰,黑客對數據庫進行攻擊,獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。

IT系統漏洞。交易所自身系統存在漏洞,黑客通過其自由漏洞獲取IT系統控制權后,直接通過IT系統進行轉賬。

員工監守自盜。前雇員在離職后通過在職時留下的后門進行資產轉移。

7?51%攻擊

風險描述

51%攻擊,又被稱為Majorityattack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力,那么在他控制算力的這段時間,他可以將區塊逆轉,進行反向交易,實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。

8?不安全的文件處理

風險描述

這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件,也就是傳統意義上的釣魚攻擊;也包括對于交易所用戶上載的KYC文件沒有經過安全處理。惡意代碼隱藏圖像中,這種方式也稱呼為隱寫術(Steganography),攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行,這種風險與APT風險有一定的關系。一般來說,單單一封郵件無法對你實施攻擊,一定要以郵件為基礎,在此之上產生別的交互才可以,比如說點擊鏈接后輸入內容,運行/打開文件,當需要以上動作時,便存在風險。

9?DNS域名劫持?

風險描述

DNS服務是互聯網的基礎服務,在DNS查詢中,需要有多個服務器之間交互,所有的交互的過程依賴于服務器得到正確的信息,在這個過程中可能導致訪問需求被劫持。

劫持訪問需求有多種方式:

利用路由協議漏洞,在網絡上進行DNS域名劫持。如BGP協議漏洞,將受害者的流量截獲,并返回錯誤的DNS地址和證書。

劫持者控制域名的一臺或多臺權威服務器,并返回錯誤信息。

遞歸服務器緩存投,將大量有數據注入遞歸服務器,導致域名對應信息被篡改。

入侵域名注冊系統,篡改域名數據,誤導用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸,如果用戶無視瀏覽器的證書無效風險警告,繼續開始交易,就會導致錢包里的資金被盜。

10?第三方安全

風險描述

使用第三方服務的時候:

因為交易所使用第三方服務自行配置錯誤導致被黑;

因為第三方服務自身漏洞導致交易所被黑;

因為第三方服務被利用來釣魚投投馬導致交易所被黑;

因為第三方服務被黑導致交易所被黑。

鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦

陳大宏、趙勇

Tags:API數字貨幣DNSDOSPitquidity Capital數字貨幣被騙最好的解決辦法dns幣的價格CUDOS

酷幣下載
BTC:關于ZT上線SGB固定理幣活動的公告

尊敬的ZT用戶: ZT理幣寶將于2021年1月30日16:00上線SGB理幣活動。本期SGB理幣為“固定理幣”,用戶可根據自身需求進行參與.

1900/1/1 0:00:00
INS:“頭礦”預告 | ISM、CPYT、SOVT

火幣生態鏈Heco挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解項目的頭礦信息和挖礦流程,金色財經推出《“頭礦”預告》.

1900/1/1 0:00:00
XEM:幣安上線 DOGE/EUR、DOGE/TRY 交易對

親愛的用戶: 幣安將于2021年01月29日20:00上線DOGE/EUR、DOGE/TRY交易對,邀您體驗!注意:EUR、TRY是法定貨幣代碼,并非數字貨幣代碼.

1900/1/1 0:00:00
STAK:幣安Staking上線IOST高收益鎖倉活動,年化高達54.49%

親愛的用戶:幣安Staking平臺將于2021年01月28日20:00上線IOST高收益鎖倉活動.

1900/1/1 0:00:00
RC20:基于波卡的可編程保險市場 Tidal Finance 將為貨幣市場協議 Konomi Network 提供去中心化保險

鏈聞消息,波卡生態上的開放式可編程保險市場TidalFinance宣布和針對跨鏈加密資產的去中心化流動性和貨幣市場協議KonomiNetwork合作.

1900/1/1 0:00:00
TIGER:幣虎已暫停DOGE充提幣業務

尊敬的用戶: 因DOGE節點維護升級,幣虎即刻起暫停DOGE充提幣服務,升級期間不影響正常交易。恢復時間另行通知.

1900/1/1 0:00:00
ads