在2019年内,全球共发生超过28起交易所安全事件,其中超过7成为交易所加密资产被盗,其余包括交易所跑路、交易所信息泄露及其他资产丢失事件,共计产生超过13亿美元的损失。
交易所频频被黑客“光顾”,除了造成资金方面的损失,更重要的是对品牌的伤害。如果被盗金额过大、处置不当,平台甚至会因此倒闭。2017年12月,韩国交易所Youbit就因被黑客攻击,导致近17%的加密资产被盗,最终不得不申请破产。
据成都链安区块链安全态势感知平台(Beosin-Eagle Eye)统计数据显示,2020年第一季度,共发生超6起典型交易所安全事件:
1、FCcoin交易所入不敷出,兑付困难,交易所创始人称资金缺口在7000-13000BTC之间。
2、新加坡交易所Coinhako在遭受攻击后限制用户取款,Coinhako发言人实施账户限制是防止『未经授权的交易』,3月1日将恢复运营能力。
3、去中心化加密衍生品交易所Digitex对外表示,一名前雇员盗取8000多名用户的私人信息。
4、OKEx、Bitfinex等交易所相继遭到DDOS攻击,纷纷出现宕机等情况,OKEx宣称遭到至少600G流量DDOS。
5、3月初,美国司法部宣布制裁涉嫌协助朝鲜黑客组织Lazarus Group洗币的黑客田寅寅和李家东,并冻结了其所有资产。
6、黑客田寅寅和李家东曾在数家交易所使用****和篡改后的照片,以绕过KYC流程。据统计,两名中国公民被控从虚拟货币交易所黑客手中洗钱超过1亿美元。
通过对近期相关交易所安全事件的分析,成都链安技术团队认为当前黑客主要的攻击渠道还是以下三种:
1、黑客对交易所的API进行的攻击尝试。
2、黑客通过鱼叉、水坑等方式尝试攻击交易所内部员工和管理人员的机器。
3、黑客通过钓鱼网站等方式尝试攻击交易所的用户。
热门交易所FCoin的暴雷,ZG交易所平台币的暴跌以及多个交易平台的退场,再次提醒作为用户选择加密货币交易所时需谨慎。目前头部交易所占据了80%的市场用户,其余中小交易所争夺着剩余20%的市场。激烈的竞争下,使得较为年轻化的工作群体争相推出各种创新特色项目。然而,在通过创新特色项目吸引用户的同时却在安全以及长远发展方面重视不够,难以保证交易所资本稳定运营。
假充值问题已经是老生常谈的问题了。从最开始假充值问题频发的EOS,再到后来的以太坊及各种代币,以及OMNI链上的USDT,都曾遭遇过假充值问题。
造成假充值的原因主要在于两个问题,代币的真实性验证和交易的成功与否验证。因此成都链安建议:交易所和钱包等项目方在验证交易的时候应验证交易是否成功、代币是否正确,以避免假充值攻击。
交易所是距离用户资产最近的地方,一直以来也是黑客攻击的首当其冲的重要目标。因此,交易所的安全防护自然是重中之重的核心要素。作为区块链行业生态链条的重要一环,交易所的安全问题甚至直接决定了区块链行业生态的兴亡。
据成都链安统计,2019年全年因区块链安全问题而造成的损失总计超“60亿”美元;其中,交易所所面临的的安全风险则更为严峻。
因此我们建议:面对频频发生的黑客攻击事件以及愈发“高明”的黑客攻击手段,交易所各方应提高警惕,鸣响警钟,切实守住行业生命线,通过与专业的安全公司展开合作,加固安全防线,建立完善和全面的安全防护机制。
依托于成都链安领先的技术实力以及丰富的区块链安全攻防经验,可为交易所提供反洗钱合规、安全态势感知(威胁预警、报警和阻断)、安全顾问、渗透测试、漏洞挖掘、防御部署和威胁情报等全方位的安全服务,以帮助交易所构建起完善的安全保障体系。
迄今,成都链安已为已为近100家头部交易所提供安全审计与防御部署服务,专业的技术实力、全方位的服务和产品矩阵受到海内外交易所的一致认可。团队申请软件发明专利和著作权达15项。
我们建议,普通用户选择大交易所,其次对于不选择将资金存储在大交易所的用户来说,私钥的保护和个人信息的保护就是重中之重,最简单也易实行的安全手段是环境分割,比如建立专门用于操作资金转移或者交易的一套系统,包括手机,邮箱等,将生活和交易分隔开,用于操作交易所的手机环境应保证纯净,不安装任何不必要的应用,不用于通信,聊天,娱乐等与交易无关的活动,私钥和助记词的保管则建议使用原始但有效的纸张记录的方式,避免使用截图,截屏等形式通过网络传输。
从安全的角度来看,交易所的安全等级主要体现在两个维度,技术的维度和人的维度。
对于交易所来说,从内网架构、内网防护、业务逻辑再到网站的一个简单验证是否能做到安全,都体现了交易所在安全建设上的等级;而从掌握资金权限的核心人员到直接对接广大外界用户的普通客户的安全意识和对相关安全知识的熟悉程度则直接体现了交易所安全运营的能力。
成都链安有AML系统,大家可以关注一下,能够实时跟踪查询被盗资产,并且出具证据链条,然后再和警方配合。大家有什么被盗币、被诈骗的情况都可以及时联系我们,我们很愿意配合大家追回被盗资产。
产品概述:
Beosin-AML是一款数字资产调查取证和反洗钱合规系统。系统在海量地址标签库、区块链大数据分析+人工智能先进技术的基础上,协助执法部门调查取证虚拟资产犯罪案件的证据链,快速定位资产流向,自动对交易做风险评分,实时监控风险交易和洗钱、欺诈等行为;帮助虚拟资产服务提供商(VASP)监测交易风险,对流入交易所的非法资金实时报警,履行反洗钱合规义务;帮助金融监管部门实时监督VASP资金流入和流出情况,分析评判VASP的合规行为。
来源:freebuf.com 2020-04-28 14:55:19 by: 成都链安科技
请登录后发表评论
注册