FAT:數字貨幣交易所安全事件頻發，盤點10大安全風險

本文原發于：CSDN

CSAGCR區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析，按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。

鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦陳大宏、趙勇

1高級長期威脅

風險描述：高級長期威脅，又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業或動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞，并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會，再利用0day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore和Lazarus。

肖風：加密數字貨幣借貸等金融服務只是一場實驗，最終會回歸合法合規:8月20日下午，萬向控股副董事長肖風、螞蟻集團副總裁蔣國飛作客《尋找區塊鏈力量》系列節目。肖風表示，過去很多在傳統金融市場做過的事，都通過加密數字貨幣和區塊鏈進行了重做。而最關鍵的在于，這些重做的內容與傳統的金融賬戶體系無關，形成了“去中心化”的挑戰和威脅。

他指出：“加密數字貨幣借貸等金融服務還只是一場實驗，最終會從兩邊往中間走，回歸合法合規；但這個合規與我們熟悉的金融合規不是一回事，考慮到技術和市場的特點，目前的合規技術與法律也會變化升級，從中間往兩邊走。”[2020/8/20]

2分布式拒絕服務

風險描述：分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網絡協議和操作系統的一些缺陷，采用欺騙和偽裝的策略來進行網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較，分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。

聲音 | 曹寅：2020年數字貨幣在政府及跨國公司間的競爭會加劇:浙江清華大學長江三角洲地區研究院區塊鏈高級研究所副所長曹寅表示，到2020年，數字貨幣的競爭不僅會在中央銀行和政府之間加劇，還會在Facebook和大型跨國公司等跨國公司之間加劇。天秤座在Facebook 27億用戶基礎的支持下，獨立于所有現有金融基礎設施，將引發金融資本流動的風險， 比特幣在2016年引發了同樣的擔憂，所以中國需要擁有同等的“貨幣工具”來鞏固其金融主權。

北京中國人民大學國際貨幣研究所教授涂永紅表示，通過比其他國家更早推出數字貨幣，中國人民銀行將能夠制定與貨幣跨境清算和支付系統有關的規則。（人民日報）[2019/12/10]

3內鬼監守自盜

風險描述：交易所內部人員利用公司內部安全流程的漏洞，監守自盜；或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。

4API安全風險問題

風險描述：交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好，黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下：

聲音 | 華通證券內部人員透露：今年將正式進軍數字貨幣市場:據中華網消息，此前持牌券商華通證券將面向港美股投資者推出數字貨幣業務的消息，在傳統證券交易市場和數字貨幣交易市場引起了極大關注。華通證券的一位工作人員近日在接受采訪時表示，“個人投資者在進行跨境投資時面臨著開戶流程繁瑣、外匯兌換限制、時間成本高等諸多麻煩，我們希望通過此次收購區塊鏈業務平臺，建立一家支持數字貨幣入金，一鍵投資全球資產的平臺，讓每一位客戶都能享受優質便捷的投資體驗。”根據公司內部人員透露，團隊從17年起就開始研究區塊鏈，在區塊鏈技術與傳統金融工程有效結合的研發方面投入大量的資金和時間，今年將正式進軍數字貨幣市場，開啟券商3.0新時代。[2019/9/9]

沒有身份驗證的API

API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制以及傳輸層安全性至關重要。

代碼注入

這種威脅有多種形式，但最典型的是SQL，RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力，部署API后應進行持續的監控，以確認沒有對生產環境造成任何漏洞。

行情 | 市值前百的數字貨幣中21漲79跌:據非小號數據顯示，市值前百的數字貨幣中21漲79跌。其中市值排名前十主流幣均出現下跌。前百幣種漲幅前五排名如下：ABT 24h上漲37.71%，現報0.4982美元。TRUE 24h上漲9.39%，現報0.7394美元。DENT24h上漲8.23%，現報0.0008美元。DGD 24h上漲6.64%，現報32.53%。ZEN24h上漲4.71%，現報10.01美元。[2019/5/8]

未加密的數據

僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據，有必要增加其他在應用層面的安全，比如DataMasking，DataTokenization,XMLEncryption等等。

URI中的數據

如果API密鑰作為URI的一部分進行傳輸，則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時，攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭發送，因為這樣做可以避免網關進行日志記錄。

FATF成員提出有必要修改反洗錢國際標準以適應數字貨幣新形式:據韓聯社消息，在近日舉行的FATF（反洗錢金融行動特別工作組）會議上，加入FATF中的35個國家和兩個組織（歐盟委員會和海灣合作委員會）的代表成員，敦促全球機構“加深對與數字貨幣有關的洗錢風險的理解”。FATF在會上討論了修改反洗錢國際標準的必要性，以及修改2015年6月制定的數字貨幣指南，并同意在3月份發出對20國集團財長會議進行回應的報告。韓國是第一個向FATF上報”與數字貨幣交易有關的義務，以解決洗錢問題“的該組織成員。FATF成立于1989年，是一個政府間機構，其目標是制定標準并促進有效實施打擊洗錢、恐怖融資和其他相關威脅的措施。[2018/2/28]

APIToken和APISecret沒有保護好

如果黑客能夠獲得客戶甚至超級用戶的APIToken和APISecret，資金的安全就成為問題。

沒有對于API的使用進行有效的檢測，黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊，就會有損失。

5假充值問題

風險描述：假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候，對交易的檢驗不夠嚴謹導致的錯誤入賬的問題。

6交易所熱錢包存儲過多資金，成為黑客目標

風險描述：交易所熱錢包存儲過多資金，成為黑客目標，這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊：

惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊，借此收集用戶的登陸憑據。

數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰，黑客對數據庫進行攻擊，獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。

IT系統漏洞。交易所自身系統存在漏洞，黑客通過其自由漏洞獲取IT系統控制權后，直接通過IT系統進行轉賬。

員工監守自盜。前雇員在離職后通過在職時留下的后門進行資產轉移。

751%攻擊

風險描述：51%攻擊，又被稱為Majorityattack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力，那么在他控制算力的這段時間，他可以將區塊逆轉，進行反向交易，實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。

8不安全的文件處理

風險描述：這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件，也就是傳統意義上的釣魚攻擊；也包括對于交易所用戶上載的KYC文件沒有經過安全處理。惡意代碼隱藏圖像中，這種方式也稱呼為隱寫術（Steganography)，攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行，這種風險與APT風險有一定的關系。一般來說，單單一封郵件無法對你實施攻擊，一定要以郵件為基礎，在此之上產生別的交互才可以，比如說點擊鏈接后輸入內容，運行/打開文件，當需要以上動作時，便存在風險。

9DNS域名劫持

風險描述：DNS服務是互聯網的基礎服務，在DNS查詢中，需要有多個服務器之間交互，所有的交互的過程依賴于服務器得到正確的信息，在這個過程中可能導致訪問需求被劫持。

劫持訪問需求有多種方式：

利用路由協議漏洞，在網絡上進行DNS域名劫持。如BGP協議漏洞，將受害者的流量截獲，并返回錯誤的DNS地址和證書。

劫持者控制域名的一臺或多臺權威服務器，并返回錯誤信息。

遞歸服務器緩存投，將大量有數據注入遞歸服務器，導致域名對應信息被篡改。

入侵域名注冊系統，篡改域名數據，誤導用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸，如果用戶無視瀏覽器的證書無效風險警告，繼續開始交易，就會導致錢包里的資金被盜。

10第三方安全

風險描述：使用第三方服務的時候：

因為交易所使用第三方服務自行配置錯誤導致被黑；因為第三方服務自身漏洞導致交易所被黑；因為第三方服務被利用來釣魚投投馬導致交易所被黑；因為第三方服務被黑導致交易所被黑。

各個風險的案例及應對措施，在白皮書中有詳細介紹；可在云安全聯盟大中華區官網https://c-csa.cn/research/results-detail/i-1604/下載進行詳讀。

*本文有不妥當之處，敬請讀者聯系CSAGCR秘書處給與雅正!

聯系郵箱：info@c-csa.cn

關于區塊鏈安全工作組的更多介紹，請在CSA大中華區官網上查看。*

Tags：數字貨幣API區塊鏈FAT數字貨幣被騙過程Alpha Capital (New)區塊鏈域名價格排行FAT價格

屎幣