知道創宇安全顧問張亮：交易所安全大起底_數字貨幣

文章來源|100BLOCK文章作者?|?張阿梅

張亮，擁有多年信息安全領域從業經驗，專注網絡安全、互聯網安全、云安全、區塊鏈安全領域，深挖各行業的安全場景，致力于提供最優的解決方案幫助用戶解決嚴峻的安全隱患。曾為國家開發投資集團有限公司、中國科協、教育部、文化部、北京比特大陸科技有限公司、北京火幣天下網絡技術有限公司等各行業客戶提供安全解決方案，具備豐富的項目實戰經驗。

問題一：開門見山，請問張總交易所常見的安全風險都有哪些？

張亮：第一類風險為可用性風險。攻擊者通過DDoS攻擊、CC攻擊、跨站腳本攻擊等方式，降低數字貨幣交易平臺的可用性，使平臺在一定時間內無法向用戶提供數字貨幣交易服務，從而影響數字貨幣交易平臺的正常運營。

其次為黑客入侵風險：攻擊者通過漏洞利用、端口掃描等手段，探測平臺安全隱患，尋找入侵機會，竊取賬戶信息、數字貨幣等，直接造成用戶利益受損。

智能合約風險：智能合約一經發布，所有人可見，并且無法修改，所以已發布的智能合約一旦發現了重大安全漏洞，將嚴重影響整個項目，甚至導致項目失敗。

“今日幣知道”微信公眾號運營者向李笑來公開道歉:金色財經報道，11月27日，“今日幣知道”微信公眾號運營者劉福威發布公開致歉聲明，以下是聲明內容：

“本人是微信公眾號“今日幣知道”的運營者，在2017年7月11日發布的《腰斬以太坊不世之功臣一李笑來》文章，該文章中使用了“圈錢”、“裝逼”、“欺騙大家”、“無恥”等對李笑來先生描述失實或者具有販損意義的詞語，文章中將一張有損李笑來先生肖像的“惡意P圖”進行了轉載，該圖中載有對李笑來人身攻擊的言語，以上行為會導致相關社會公眾對李笑來社會評價的降低，構成對李笑來人格權的侵犯并給其造成極大的心理傷害。現本人已將侵權文章全部刪除，并在此鄭重向李笑來先生做誠懇的道歉，同時本人承諾今后不再發布任何侵害李笑來先生合法權益的文章、信息等。”[2020/11/28 22:27:28]

薅羊毛風險：在推廣階段攻擊者及黑產通過「貓池」、「接碼平臺」批量的注冊賬號，并利用這些賬號在應用平臺或項目方的各個渠道中「搶糖果」使應用平臺及項目方用于推廣獲客的資金「打水漂」。智能合約的安全漏洞，一旦可以超發，大金額流通也會蒸發，這個時候需要及時的鎖倉、停止交易，并通過代幣兌換的方式上線新合約，對已發的token進行替換，止損。

加密分析師：暫時不知道比特幣下一個需求點在哪里:6月10日，加密貨幣分析師Joseph Young發推稱，當前比特幣似乎正處于一個奇怪的位置。因為機構，包括對沖基金和億萬富翁似乎更喜歡用現金和低風險債券來對沖風險，而從納斯達克的表現來看，散戶正忙著買股票。因此暫時還不能明確比特幣下一個需求點來自哪里。[2020/6/10]

釣魚網站安全風險：惡意黑客通過釣魚網站、釣魚郵件、密碼暴力破解等方式嘗試獲取用戶的賬號和密碼，并通過收集到的賬號密碼盜取用戶在應用平臺中的數字貨幣或通過短時間用高價值的數字貨幣買入低價值的數字貨幣，利用數字貨幣交易平臺的價格差甚至數字貨幣期貨套現，非法獲利。而普通用戶普遍難以意識到釣魚網站、釣魚郵件帶來的安全威脅，一旦訪問到釣魚網站受騙，往往會在輿論上對正常的應用平臺進行譴責，對應用平臺的良好信譽帶來巨大的損失。

內網安全風險：由于區塊鏈行業的快速發展，項目方均在同時間賽跑，務求用最短的時間讓公鏈、平臺、項目上線運營，從而忽視了員工信息安全意識培養及內部辦公環境中存在的安全隱患。

根據知道創宇威脅及敏感信息泄漏監測中心的觀察和統計，在GitHub、GitLab、CSDN等國際知名的開發者網站及平臺上，大量項目方的核心源碼及賬戶名和密碼存在敏感信息泄漏的情況，攻擊者可以利用這些賬號密碼對辦公環境進行內網滲透。在安全防護較薄弱的辦公設備及服務器上面部署惡意代碼程序，并潛伏，等待時機發起「致命一擊」。

動態 | Sophia機器人稱知道加密貨幣，但未使用過:金色財經報道，11月6日，名為Sophia的類人機器人在葡萄牙里斯本Web峰會上致辭。在被問到她是否對區塊鏈，比特幣和加密貨幣有看法時，她回答稱：“我知道什么是加密貨幣，但是我自己還沒有使用它們。我完全不用錢。”據悉，Sophia是總部位于香港的漢森機器人公司（Hanson Robotics）創造的幾種人性化機器人之一。[2019/11/7]

問題二：那針對以上安全風險，交易所可以采取哪些措施進行有效應對？

張亮：首先針對可用性風險，交易所可以使用云抗D服務進行應對，有效防御DDos攻擊、CC攻擊。針對黑客入侵，可以采取主動漏洞挖掘和web應用層攻擊防護的方式進行防御。云WAF可以防御包括SQL注入、XSS跨站攻擊、CRSF跨站請求偽造、Webshell文件上傳、惡意采集及利于Web漏洞進行的各類攻擊，有效防御黑客入侵。

采用第三方安全公司的滲透測試服務可以先于黑客找到自身存在的漏洞，及時整改加固，增強自身安全性。智能合約問題同樣可以采購第三方安全公司的智能合約審計服務，對智能合約源碼中的隱私泄漏、交易溢出與異常、代幣轉入轉出風險、合約故障、拒絕服務等問題進行深度源碼審計，在項目上線前盡可能多的暴露和解決問題，確保項目順利執行。

聲音 | 前FDIC主席：對Libra有些擔憂 不知道其如何利用獲得的資 金:據CCN消息，前聯邦存款保險公司（FDIC）主席Sheila Bair在接受CNBC采訪時對Libra提出了一些擔憂，“如果我給他們一些錢去買Libra，他們會用這些錢做什么？他們在白皮書中對此有點模糊……抵押品的實力是我會問的一個問題。”盡管Libra聲稱自己是未來的穩定幣，但尚不清楚Facebook將如何利用其外匯儲備管理投資。 Bair后來重申了她關于美聯儲支持的加密貨幣的想法，然而，這一想法并沒有實現。政府通常對新技術的吸收很慢，但如果成功的話，Libra可能會改變這一切。[2019/6/19]

針對羊毛黨可以采購反欺詐服務，通過風控模型能夠準確識別羊毛號、黑產小號等，降低黑產通過該種手段造成的刷糖果幣、搶優惠、騙獎勵的行為，使交易所和項目真正達到宣傳、推廣的效果。

針對內網安全問題在可以在辦公環境內部署多個即插即用的「誘騙終端」，部署到不同的業務網絡中，終端之間相互通信，達到高度偽裝。利用「敏感信息」誘導黑客攻擊，記錄攻擊過程，并通過微信、郵件等方式發出預警。

群友哈迪斯：不通過安全審計，通過代幣激勵內測邀請安全人士共同反饋問題，這種手段有效嗎？

動態 | 全世界只有不到百分之一的人知道比特幣 且主要基于負面傳播:據ethereumworldnews消息，截至2018年底，BTC的地址已有超過3200萬個，擁有超過2100萬個BTC的流通量。并且，有720萬個地址是活躍的，其中有230萬個地址用于支付，430萬個指向交易所。這反映了BTC持有者依然比較活躍，BTC作為結算和媒介的傳播并未停止，其中30%的持幣地址不會長期拋售。但是比特幣愛好者Alex Ziupsnys則表示，上述數據統計粗略，采用率較低，在這個近似值中，只有約1%的世界人口了解和使用BTC。并且，BTC的知識普及依然依賴于反向傳播，依然由于監管的不明朗使得市場風險較高。[2019/3/9]

張亮：激勵的尺度大小直接影響了參與測試的人員技術水平，進而會影響測試質量。

問題三：剛剛看您提到云防火墻，交易所在選擇云服務廠家時，應該注重哪些點？

張亮不僅僅是云WAF，還有云抗D，在選擇廠商時我建議關注以下幾點：首先服務商要有交易所行業案例；其次，盡量選擇知名度高、市場占有率高、產品和服務相對成熟的廠商。針對抗DDos攻擊，要選擇帶寬儲備充足、抗CC攻擊能力突出的服務商，最后要選擇注重服務的廠商，應急響應一定要及時。出現攻擊及時對接，不走工單。

問題四：交易所滲透測試的流程是什么樣的？測試內容都有哪些？

張亮：知道創宇在做滲透測試的時候首先會收集交易所的信息，包括域名，交易所業務情況、后臺管理系統、錢包信息等；其次，開展滲透測試，對交易所網站、后臺管理系統、APP以及承載相關業務的基礎環境進行滲透測試；最后是編寫報告并交付。

從測試重點角度，交易所滲透測試一方面是檢測是否存在安全漏洞，更重要的是檢測交易所及錢包的越權操作、信息泄露的問題，避免出現用戶信息泄露、異常操作的問題。

**問題五：多次有人提到以太坊的智能合約問題，認為其靈活性帶來了巨大安全漏洞？您是怎么看待的？

張亮：以太坊智能合約的靈活性帶來了很大的安全問題，但不能否定它的可用性，就像微軟系統一樣，也存在很多的漏洞，我們不也一樣在使用么，每個系統都不是完美的，都會存在缺陷，所以我們在使用的時候就要盡量的通過技術手段規避這些漏洞，盡可能的做到安全，這也是為什么我們設計好智能合約以后，還要找專業的安全機構做審計的原因。

問題六：如果不做智能合約審計對交易所有什么影響？

張亮：如果智能合約未經審計直接上線交易所，智能合約中如果存在重大安全隱患，一旦爆發，將導致項目直接失敗，對交易所的聲譽造成巨大影響，由于項目失敗也必將對交易所中該代幣進行凍結、下線等一系列相關措施，影響交易所的正常運轉。

問題七：智能合約審計都涵蓋了哪些內容？整個審計周期大概是多久？

張亮：知道創宇的智能合約審計服務包括了重入漏洞、訪問控制、整數溢出、未檢查返回值調用、拒絕服務、錯誤使用隨機數、事物順序依賴性、時間戳依賴、短地址攻擊等內容。審計周期在1到3天，如果緊急可以做加急處理。

群友哈迪斯：張總這邊流程完善，經驗豐富，我比較好奇之前有成功預防過什么典例型漏洞？怎么快速解決的？

張亮：我們的一些智能合約審計項目確實發現過一些問題，在報告中會給出我們的整改建議，協助進行整改。

問題八：用戶合約審計只想針對整數溢出問題進行審計，這樣審計行不行，對價格有沒有影響？

張亮：智能合約審計，不管做哪個檢查，都是要把所有合約代碼審一遍，所以僅檢查一項，和檢查所有項，價格幾乎一樣。知道創宇要出智能合約審計報告就需要針對每一項都進行檢測，也是對上幣方負責。

問題九：已經發布的智能合約可以做審計嗎？

張亮：智能合約具有不可逆的特性，一旦上線不易修改，上線后的智能合約可以通過審計服務，檢測是否存在安全隱患，如果存在，需要及時進行下線或者應急處置。已經發布的智能合約可以做審計，現在很多大的交易所都在對之前上幣沒有做過審計的上幣項目做復審。

**問題十：我們都知道在線錢包被盜事件很多，那么在線錢包怎么保證安全？

張亮：在線錢包基本都是通過網頁的形式來進行訪問，主要威脅有跨站腳本攻擊，賬號被暴力破解和利用，以及交易記錄和余額信息不被篡改；這些問題是可以用知道創宇的Web應用級防火墻做安全防護，通過滲透測試做主動漏洞挖掘。主動挖掘漏洞和被動防御相結合，防護效果更好。

問題十一：如果錢包地址暴露在公網，有什么風險？

張亮：錢包地址暴露在公網后，所有人均可以通過查詢searchain.io，就可以知道錢包內有多少token，價值多少錢，歷史轉賬信息，通過哪個交易所開過戶等用戶隱私信息。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

鏈聞看天下

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626961.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

黑客大軍「撞庫」攻擊交易所，是誰泄露了用戶數據？

下一篇：

以太坊技術|Solidity函數修改器以及異常處理

Tags：數字貨幣BTC比特幣WEB數字貨幣被騙過程聊天記錄nhbtc幣為什么歸零了比特幣行情軟件下載iosbitweb

以太坊價格