以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 屎幣 > Info

CHA:知道創宇安全顧問張亮:交易所安全大起底

Author:

Time:1900/1/1 0:00:00

文章來源|100BLOCK文章作者?|?張阿梅

張亮,擁有多年信息安全領域從業經驗,專注網絡安全、互聯網安全、云安全、區塊鏈安全領域,深挖各行業的安全場景,致力于提供最優的解決方案幫助用戶解決嚴峻的安全隱患。曾為國家開發投資集團有限公司、中國科協、教育部、文化部、北京比特大陸科技有限公司、北京火幣天下網絡技術有限公司等各行業客戶提供安全解決方案,具備豐富的項目實戰經驗。

問題一:開門見山,請問張總交易所常見的安全風險都有哪些?

張亮:第一類風險為可用性風險。攻擊者通過DDoS攻擊、CC攻擊、跨站腳本攻擊等方式,降低數字貨幣交易平臺的可用性,使平臺在一定時間內無法向用戶提供數字貨幣交易服務,從而影響數字貨幣交易平臺的正常運營。

其次為黑客入侵風險:攻擊者通過漏洞利用、端口掃描等手段,探測平臺安全隱患,尋找入侵機會,竊取賬戶信息、數字貨幣等,直接造成用戶利益受損。

智能合約風險:智能合約一經發布,所有人可見,并且無法修改,所以已發布的智能合約一旦發現了重大安全漏洞,將嚴重影響整個項目,甚至導致項目失敗。

Chainalysis調查負責人稱“不知道”其監控軟件的科學依據:金色財經報道,據CoinDesk獲取未公開的聽證會記錄顯示,Chainalysis Government Solutions調查負責人Elizabeth Bisbee在法庭作證說,她“不知道”執法部門使用的Chainalysis Reactor 軟件準確性的科學依據。著名律師Tor Ekeland指控稱,Chainalysis的監控工具在整個行業中廣泛用于合規性,并且有時會導致不合理的賬戶限制,Chainalysis Reactor 是“一種黑匣子算法”,“依賴于垃圾科學”。甚至在沒有合理理由的情況下讓毫無戒心的個人進入執法機構的監視范圍。

Bisbee表示,她無法向法院提供Chainalysis Reactor 軟件的統計錯誤率,她進一步否認知道任何科學同行評審論文或證據證明該工具的準確性。[2023/7/25 15:56:29]

薅羊毛風險:在推廣階段攻擊者及黑產通過「貓池」、「接碼平臺」批量的注冊賬號,并利用這些賬號在應用平臺或項目方的各個渠道中「搶糖果」使應用平臺及項目方用于推廣獲客的資金「打水漂」。智能合約的安全漏洞,一旦可以超發,大金額流通也會蒸發,這個時候需要及時的鎖倉、停止交易,并通過代幣兌換的方式上線新合約,對已發的token進行替換,止損。

SBF:人們知道如何計算年收益,只是有時不理會:FTX首席執行官SBF今日發推稱:“嘿兄弟,我認為每個人都忘記如何計算年收益。對此,他在最新的推特中補充說明:可以明確地說,人們知道如何計算年收益,但他們只是有時候不理會。”[2020/9/18]

釣魚網站安全風險:惡意黑客通過釣魚網站、釣魚郵件、密碼暴力破解等方式嘗試獲取用戶的賬號和密碼,并通過收集到的賬號密碼盜取用戶在應用平臺中的數字貨幣或通過短時間用高價值的數字貨幣買入低價值的數字貨幣,利用數字貨幣交易平臺的價格差甚至數字貨幣期貨套現,非法獲利。而普通用戶普遍難以意識到釣魚網站、釣魚郵件帶來的安全威脅,一旦訪問到釣魚網站受騙,往往會在輿論上對正常的應用平臺進行譴責,對應用平臺的良好信譽帶來巨大的損失。

內網安全風險:由于區塊鏈行業的快速發展,項目方均在同時間賽跑,務求用最短的時間讓公鏈、平臺、項目上線運營,從而忽視了員工信息安全意識培養及內部辦公環境中存在的安全隱患。

根據知道創宇威脅及敏感信息泄漏監測中心的觀察和統計,在GitHub、GitLab、CSDN等國際知名的開發者網站及平臺上,大量項目方的核心源碼及賬戶名和密碼存在敏感信息泄漏的情況,攻擊者可以利用這些賬號密碼對辦公環境進行內網滲透。在安全防護較薄弱的辦公設備及服務器上面部署惡意代碼程序,并潛伏,等待時機發起「致命一擊」。

聲音 | CSW談BSV大漲:知道背后有什么事,但不會說出來:BSV支持者Craig Wright(CSW)近期接受了BlockTV的采訪。在談及BSV日前大幅拉升近300%的背后原因時,CSW表示:“我知道這背后有什么事、什么人,也知道其他的一些事情。我知道有人在做些什么,但這些都不是公開信息,所以我不打算分享。”在談及與Kleiman的訴訟案時,CSW表示,他不會讓法院輕易地強制他支付(50萬比特幣)。因為如果他把50萬比特幣交給Kleiman,數字資產和整個加密貨幣市場都會受到影響,因為Kleiman很可能會為了支付遺產稅而出售大量比特幣。在談及關鍵性的私鑰問題時,CSW稱不愿意透露任何細節。(Crypto Ticker)[2020/1/31]

問題二:那針對以上安全風險,交易所可以采取哪些措施進行有效應對?

張亮:首先針對可用性風險,交易所可以使用云抗D服務進行應對,有效防御DDos攻擊、CC攻擊。針對黑客入侵,可以采取主動漏洞挖掘和web應用層攻擊防護的方式進行防御。云WAF可以防御包括SQL注入、XSS跨站攻擊、CRSF跨站請求偽造、Webshell文件上傳、惡意采集及利于Web漏洞進行的各類攻擊,有效防御黑客入侵。

聲音 | 福布斯財務委員會成員:Ripple有很多產品可以提升XRP的價值 但沒人知道XRP可以達到什么水平:福布斯財務委員會成員David Gokhshtein發推文稱,Ripple公司將盡一切可能使XRP有價值。他們有很多很棒的產品(如:xRapid)可以提升它的價值。但是沒有人知道它會達到什么水平。[2019/7/29]

采用第三方安全公司的滲透測試服務可以先于黑客找到自身存在的漏洞,及時整改加固,增強自身安全性。智能合約問題同樣可以采購第三方安全公司的智能合約審計服務,對智能合約源碼中的隱私泄漏、交易溢出與異常、代幣轉入轉出風險、合約故障、拒絕服務等問題進行深度源碼審計,在項目上線前盡可能多的暴露和解決問題,確保項目順利執行。

針對羊毛黨可以采購反欺詐服務,通過風控模型能夠準確識別羊毛號、黑產小號等,降低黑產通過該種手段造成的刷糖果幣、搶優惠、騙獎勵的行為,使交易所和項目真正達到宣傳、推廣的效果。

針對內網安全問題在可以在辦公環境內部署多個即插即用的「誘騙終端」,部署到不同的業務網絡中,終端之間相互通信,達到高度偽裝。利用「敏感信息」誘導黑客攻擊,記錄攻擊過程,并通過微信、郵件等方式發出預警。

聲音 | 前FDIC主席:對Libra有些擔憂 不知道其如何利用獲得的資 金:據CCN消息,前聯邦存款保險公司(FDIC)主席Sheila Bair在接受CNBC采訪時對Libra提出了一些擔憂,“如果我給他們一些錢去買Libra,他們會用這些錢做什么?他們在白皮書中對此有點模糊……抵押品的實力是我會問的一個問題。”盡管Libra聲稱自己是未來的穩定幣,但尚不清楚Facebook將如何利用其外匯儲備管理投資。 Bair后來重申了她關于美聯儲支持的加密貨幣的想法,然而,這一想法并沒有實現。政府通常對新技術的吸收很慢,但如果成功的話,Libra可能會改變這一切。[2019/6/19]

群友哈迪斯:不通過安全審計,通過代幣激勵內測邀請安全人士共同反饋問題,這種手段有效嗎?

張亮:激勵的尺度大小直接影響了參與測試的人員技術水平,進而會影響測試質量。

問題三:剛剛看您提到云防火墻,交易所在選擇云服務廠家時,應該注重哪些點?

張亮不僅僅是云WAF,還有云抗D,在選擇廠商時我建議關注以下幾點:首先服務商要有交易所行業案例;其次,盡量選擇知名度高、市場占有率高、產品和服務相對成熟的廠商。針對抗DDos攻擊,要選擇帶寬儲備充足、抗CC攻擊能力突出的服務商,最后要選擇注重服務的廠商,應急響應一定要及時。出現攻擊及時對接,不走工單。

問題四:交易所滲透測試的流程是什么樣的?測試內容都有哪些?

張亮:知道創宇在做滲透測試的時候首先會收集交易所的信息,包括域名,交易所業務情況、后臺管理系統、錢包信息等;其次,開展滲透測試,對交易所網站、后臺管理系統、APP以及承載相關業務的基礎環境進行滲透測試;最后是編寫報告并交付。

從測試重點角度,交易所滲透測試一方面是檢測是否存在安全漏洞,更重要的是檢測交易所及錢包的越權操作、信息泄露的問題,避免出現用戶信息泄露、異常操作的問題。

**問題五:多次有人提到以太坊的智能合約問題,認為其靈活性帶來了巨大安全漏洞?您是怎么看待的?

張亮:以太坊智能合約的靈活性帶來了很大的安全問題,但不能否定它的可用性,就像微軟系統一樣,也存在很多的漏洞,我們不也一樣在使用么,每個系統都不是完美的,都會存在缺陷,所以我們在使用的時候就要盡量的通過技術手段規避這些漏洞,盡可能的做到安全,這也是為什么我們設計好智能合約以后,還要找專業的安全機構做審計的原因。

問題六:如果不做智能合約審計對交易所有什么影響?

張亮:如果智能合約未經審計直接上線交易所,智能合約中如果存在重大安全隱患,一旦爆發,將導致項目直接失敗,對交易所的聲譽造成巨大影響,由于項目失敗也必將對交易所中該代幣進行凍結、下線等一系列相關措施,影響交易所的正常運轉。

問題七:智能合約審計都涵蓋了哪些內容?整個審計周期大概是多久?

張亮:知道創宇的智能合約審計服務包括了重入漏洞、訪問控制、整數溢出、未檢查返回值調用、拒絕服務、錯誤使用隨機數、事物順序依賴性、時間戳依賴、短地址攻擊等內容。審計周期在1到3天,如果緊急可以做加急處理。

群友哈迪斯:張總這邊流程完善,經驗豐富,我比較好奇之前有成功預防過什么典例型漏洞?怎么快速解決的?

張亮:我們的一些智能合約審計項目確實發現過一些問題,在報告中會給出我們的整改建議,協助進行整改。

問題八:用戶合約審計只想針對整數溢出問題進行審計,這樣審計行不行,對價格有沒有影響?

張亮:智能合約審計,不管做哪個檢查,都是要把所有合約代碼審一遍,所以僅檢查一項,和檢查所有項,價格幾乎一樣。知道創宇要出智能合約審計報告就需要針對每一項都進行檢測,也是對上幣方負責。

問題九:已經發布的智能合約可以做審計嗎?

張亮:智能合約具有不可逆的特性,一旦上線不易修改,上線后的智能合約可以通過審計服務,檢測是否存在安全隱患,如果存在,需要及時進行下線或者應急處置。已經發布的智能合約可以做審計,現在很多大的交易所都在對之前上幣沒有做過審計的上幣項目做復審。

**問題十:我們都知道在線錢包被盜事件很多,那么在線錢包怎么保證安全?

張亮:在線錢包基本都是通過網頁的形式來進行訪問,主要威脅有跨站腳本攻擊,賬號被暴力破解和利用,以及交易記錄和余額信息不被篡改;這些問題是可以用知道創宇的Web應用級防火墻做安全防護,通過滲透測試做主動漏洞挖掘。主動挖掘漏洞和被動防御相結合,防護效果更好。

問題十一:如果錢包地址暴露在公網,有什么風險?

張亮:錢包地址暴露在公網后,所有人均可以通過查詢searchain.io,就可以知道錢包內有多少token,價值多少錢,歷史轉賬信息,通過哪個交易所開過戶等用戶隱私信息。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

鏈聞看天下

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3626961.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

黑客大軍「撞庫」攻擊交易所,是誰泄露了用戶數據?

下一篇:

以太坊技術|Solidity函數修改器以及異常處理

Tags:數字貨幣CHAAINChain加密貨幣和數字貨幣的區別是什么Welups Blockchaindogechain幣總量blockchain2023

屎幣
COI:黑客再「玩」幣安:SYS 幣被拉升 320 萬倍,黑客獲利 8000 萬

今天早晨,幣圈傳出消息,稱幣安被黑客攻擊,上萬個比特幣被轉走。攻擊方式,據傳和3月7日幣安遭遇的黑客攻擊,如出一撤.

1900/1/1 0:00:00
UNC:火星一線 | BNB突破29.9美元,再創歷史新高,新一期Launchpad項目將在幣安鏈發行

火星財經APP一線報道,最新行情數據顯示,BNB價格創歷史新高,最高報價29.9499美元,24小時漲幅超4%.

1900/1/1 0:00:00
OIN:達令研報|銀行業跨境交易結算現狀:巨頭們都在做什么?

目前來講,跨境支付可能是銀行和金融業中區塊鏈和通證的最常見和已知用例。無論是采用私鏈、聯盟鏈或公鏈的形式,來自世界各地的許多銀行和金融機構已經在探索應用區塊鏈和加密資產以進行跨境交易.

1900/1/1 0:00:00
Upbit:三家交易所在政府檢查后遭黑客攻擊,韓國惹眾怒!

7月11日消息,由于沒有采取足夠措施幫助阻止加密貨幣交易所遭受黑客攻擊,韓國政府受到民眾批評。監管機構相關數據顯示,在經過政府檢查后,三家加密貨幣交易所發生黑客事件,造成近1億美元的損失.

1900/1/1 0:00:00
BTC:BTC時光機活動細則

參與方式:方式1:Prime-BTC或Prime-RSR參與并有實際成交訂單的用戶,即自動獲得參與資格。方式2:參與海外用戶Twitter專享活動.

1900/1/1 0:00:00
ETF:ETF專家Dave Nadig:SEC尚處于信息收集階段 比特幣ETF仍需等待

美國證券交易委員會周一提交的一份文件顯示,其再次推遲了對VanEckSolidX的比特幣交易所交易基金提案的決定時間。SEC做出決定的新的截止日期是8月19日,其最后期限可以延遲至10月18日.

1900/1/1 0:00:00
ads