数字货币:知道创宇安全顾问张亮:交易所安全大起底

文章来源|100BLOCK文章作者?|?张阿梅

张亮,拥有多年信息安全领域从业经验,专注网络安全、互联网安全、云安全、区块链安全领域,深挖各行业的安全场景,致力于提供最优的解决方案帮助用户解决严峻的安全隐患。曾为国家开发投资集团有限公司、中国科协、教育部、文化部、北京比特大陆科技有限公司、北京火币天下网络技术有限公司等各行业客户提供安全解决方案,具备丰富的项目实战经验。

问题一:开门见山,请问张总交易所常见的安全风险都有哪些?

张亮:第一类风险为可用性风险。攻击者通过DDoS攻击、CC攻击、跨站脚本攻击等方式,降低数字货币交易平台的可用性,使平台在一定时间内无法向用户提供数字货币交易服务,从而影响数字货币交易平台的正常运营。

其次为黑客入侵风险:攻击者通过漏洞利用、端口扫描等手段,探测平台安全隐患,寻找入侵机会,窃取账户信息、数字货币等,直接造成用户利益受损。

智能合约风险:智能合约一经发布,所有人可见,并且无法修改,所以已发布的智能合约一旦发现了重大安全漏洞,将严重影响整个项目,甚至导致项目失败。

Chainalysis调查负责人称“不知道”其监控软件的科学依据:金色财经报道,据CoinDesk获取未公开的听证会记录显示,Chainalysis Government Solutions调查负责人Elizabeth Bisbee在法庭作证说,她“不知道”执法部门使用的Chainalysis Reactor 软件准确性的科学依据。著名律师Tor Ekeland指控称,Chainalysis的监控工具在整个行业中广泛用于合规性,并且有时会导致不合理的账户限制,Chainalysis Reactor 是“一种黑匣子算法”,“依赖于垃圾科学”。甚至在没有合理理由的情况下让毫无戒心的个人进入执法机构的监视范围。

Bisbee表示,她无法向法院提供Chainalysis Reactor 软件的统计错误率,她进一步否认知道任何科学同行评审论文或证据证明该工具的准确性。[2023/7/25 15:56:29]

薅羊毛风险:在推广阶段攻击者及黑产通过「猫池」、「接码平台」批量的注册账号,并利用这些账号在应用平台或项目方的各个渠道中「抢糖果」使应用平台及项目方用于推广获客的资金「打水漂」。智能合约的安全漏洞,一旦可以超发,大金额流通也会蒸发,这个时候需要及时的锁仓、停止交易,并通过代币兑换的方式上线新合约,对已发的token进行替换,止损。

马斯克暗示回应更换BAYC头像:我不知道,似乎有点同质化:金色财经报道,马斯克5月4日将推特头像更换为BAYC NFT,针对此事,苏富比副总裁在社交媒体@马斯克称,我很欣赏你的作品,我希望你能把我为我们的苏富比拍卖会创作的pfp删除。或者你如果相信我,我很高兴把经买方同意的原始文件发给你。

马斯克随后发文暗示回应更换BAYC头像,他表示:我不知道,似乎有点同质化。(注:NFT意为非同质化代币,即不可替代)[2022/5/4 2:49:39]

钓鱼网站安全风险:恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码,并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币,利用数字货币交易平台的价格差甚至数字货币期货套现,非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁,一旦访问到钓鱼网站受,往往会在舆论上对正常的应用平台进行谴责,对应用平台的良好信誉带来巨大的损失。

内网安全风险:由于区块链行业的快速发展,项目方均在同时间赛跑,务求用最短的时间让公链、平台、项目上线运营,从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。

动态 | 全世界只有不到百分之一的人知道比特币 且主要基于负面传播:据ethereumworldnews消息,截至2018年底,BTC的地址已有超过3200万个,拥有超过2100万个BTC的流通量。并且,有720万个地址是活跃的,其中有230万个地址用于支付,430万个指向交易所。这反映了BTC持有者依然比较活跃,BTC作为结算和媒介的传播并未停止,其中30%的持币地址不会长期抛售。但是比特币爱好者Alex Ziupsnys则表示,上述数据统计粗略,采用率较低,在这个近似值中,只有约1%的世界人口了解和使用BTC。并且,BTC的知识普及依然依赖于反向传播,依然由于监管的不明朗使得市场风险较高。[2019/3/9]

根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计,在GitHub、GitLab、CSDN等国际知名的开发者网站及平台上,大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况,攻击者可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序,并潜伏,等待时机发起「致命一击」。

问题二:那针对以上安全风险,交易所可以采取哪些措施进行有效应对?

调查显示:大部分日本PC用户不知道加密劫持:据日本的一项调查显示,日本有95%的PC用户表示知道数字货币,但是超过40%的人表示并没有听说过加密劫持。目前加密劫持已成为日本网络安全的主要威胁,一家网络安全公司表示,2017年第四季度日本就有135400台电脑感染了加密病。[2018/5/29]

张亮:首先针对可用性风险,交易所可以使用云抗D服务进行应对,有效防御DDos攻击、CC攻击。针对黑客入侵,可以采取主动漏洞挖掘和web应用层攻击防护的方式进行防御。云WAF可以防御包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击,有效防御黑客入侵。

采用第三方安全公司的渗透测试服务可以先于黑客找到自身存在的漏洞,及时整改加固,增强自身安全性。智能合约问题同样可以采购第三方安全公司的智能合约审计服务,对智能合约源码中的隐私泄漏、交易溢出与异常、代币转入转出风险、合约故障、拒绝服务等问题进行深度源码审计,在项目上线前尽可能多的暴露和解决问题,确保项目顺利执行。

针对羊毛党可以采购反欺诈服务,通过风控模型能够准确识别羊毛号、黑产小号等,降低黑产通过该种手段造成的刷糖果币、抢优惠、奖励的行为,使交易所和项目真正达到宣传、推广的效果。

美国出现一种新型欺诈手段“知道你外遇的事实,给我寄比特币”:根据24号(当地时间)CNBC的报道,在美国境内美国男性受到外遇威胁,并要求比特币付款的新型手段。调查显示这种欺诈造成的损失数额在全国范围内是巨大的。[2018/1/25]

针对内网安全问题在可以在办公环境内部署多个即插即用的「诱终端」,部署到不同的业务网络中,终端之间相互通信,达到高度伪装。利用「敏感信息」诱导黑客攻击,记录攻击过程,并通过微信、邮件等方式发出预警。

群友哈迪斯:不通过安全审计,通过代币激励内测邀请安全人士共同反馈问题,这种手段有效吗?

张亮:激励的尺度大小直接影响了参与测试的人员技术水平,进而会影响测试质量。

问题三:刚刚看您提到云防火墙,交易所在选择云服务厂家时,应该注重哪些点?

张亮不仅仅是云WAF,还有云抗D,在选择厂商时我建议关注以下几点:首先服务商要有交易所行业案例;其次,尽量选择知名度高、市场占有率高、产品和服务相对成熟的厂商。针对抗DDos攻击,要选择带宽储备充足、抗CC攻击能力突出的服务商,最后要选择注重服务的厂商,应急响应一定要及时。出现攻击及时对接,不走工单。

问题四:交易所渗透测试的流程是什么样的?测试内容都有哪些?

张亮:知道创宇在做渗透测试的时候首先会收集交易所的信息,包括域名,交易所业务情况、后台管理系统、钱包信息等;其次,开展渗透测试,对交易所网站、后台管理系统、APP以及承载相关业务的基础环境进行渗透测试;最后是编写报告并交付。

从测试重点角度,交易所渗透测试一方面是检测是否存在安全漏洞,更重要的是检测交易所及钱包的越权操作、信息泄露的问题,避免出现用户信息泄露、异常操作的问题。

**问题五:多次有人提到以太坊的智能合约问题,认为其灵活性带来了巨大安全漏洞?您是怎么看待的?

张亮:以太坊智能合约的灵活性带来了很大的安全问题,但不能否定它的可用性,就像微软系统一样,也存在很多的漏洞,我们不也一样在使用么,每个系统都不是完美的,都会存在缺陷,所以我们在使用的时候就要尽量的通过技术手段规避这些漏洞,尽可能的做到安全,这也是为什么我们设计好智能合约以后,还要找专业的安全机构做审计的原因。

问题六:如果不做智能合约审计对交易所有什么影响?

张亮:如果智能合约未经审计直接上线交易所,智能合约中如果存在重大安全隐患,一旦爆发,将导致项目直接失败,对交易所的声誉造成巨大影响,由于项目失败也必将对交易所中该代币进行冻结、下线等一系列相关措施,影响交易所的正常运转。

问题七:智能合约审计都涵盖了哪些内容?整个审计周期大概是多久?

张亮:知道创宇的智能合约审计服务包括了重入漏洞、访问控制、整数溢出、未检查返回值调用、拒绝服务、错误使用随机数、事物顺序依赖性、时间戳依赖、短地址攻击等内容。审计周期在1到3天,如果紧急可以做加急处理。

群友哈迪斯:张总这边流程完善,经验丰富,我比较好奇之前有成功预防过什么典例型漏洞?怎么快速解决的?

张亮:我们的一些智能合约审计项目确实发现过一些问题,在报告中会给出我们的整改建议,协助进行整改。

问题八:用户合约审计只想针对整数溢出问题进行审计,这样审计行不行,对价格有没有影响?

张亮:智能合约审计,不管做哪个检查,都是要把所有合约代码审一遍,所以仅检查一项,和检查所有项,价格几乎一样。知道创宇要出智能合约审计报告就需要针对每一项都进行检测,也是对上币方负责。

问题九:已经发布的智能合约可以做审计吗?

张亮:智能合约具有不可逆的特性,一旦上线不易修改,上线后的智能合约可以通过审计服务,检测是否存在安全隐患,如果存在,需要及时进行下线或者应急处置。已经发布的智能合约可以做审计,现在很多大的交易所都在对之前上币没有做过审计的上币项目做复审。

**问题十:我们都知道在线钱包被盗事件很多,那么在线钱包怎么保证安全?

张亮:在线钱包基本都是通过网页的形式来进行访问,主要威胁有跨站脚本攻击,账号被暴力破解和利用,以及交易记录和余额信息不被篡改;这些问题是可以用知道创宇的Web应用级防火墙做安全防护,通过渗透测试做主动漏洞挖掘。主动挖掘漏洞和被动防御相结合,防护效果更好。

问题十一:如果钱包地址暴露在公网,有什么风险?

张亮:钱包地址暴露在公网后,所有人均可以通过查询searchain.io,就可以知道钱包内有多少token,价值多少钱,历史转账信息,通过哪个交易所开过户等用户隐私信息。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

链闻看天下

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626961.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

黑客大军「撞库」攻击交易所,是谁泄露了用户数据?

下一篇:

以太坊技术|Solidity函数修改器以及异常处理

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:537ms