2019-03-26 10:44

除了“假充值”,这些加密资产安全问题不得不防

伴随着数字资产交易全球化,交易所作为连接区块链世界和现实世界的枢纽,承载着活跃市场、促进流通的作用,在数字资产领域中扮演重要角色。资金数量大、服务负担重、可攻击点多等特点使得交易所经常成为黑客们攻击的首选目标

据不完全统计,仅2018年,全球数字资产交易所因安全问题而遭受损失金额超过9亿美元。2019年“假充值”漏洞又被推上风口浪尖,我们在《EOS假充值风险来袭,交易所应如何应对?》中曾做过相关分析如何规避此类风险,但黑客所能攻击的弱点远不止这一个。可以说,交易所和黑客之间在进行一场不平等的战争,交易所需要处处防范,而黑客只需要寻找一个弱点。

面对虎视眈眈的黑客群体,交易所应该如何提高自身安全性?投资者又该如何选择一家安全的交易所呢?

交易所安全基础——系统安全

总结从2011年6月以来的交易所安全事件,黑客的攻击手段主要包括了以下几种:

钓鱼网站骗取用户账号密码

攻击交易所员工个人电脑进而入侵系统

控制部分账户进行大规模做多或做空

DDoS攻击造成极端交易

“假充值”攻击

其中除了钓鱼网站骗取信息需要投资者多加留意外,其他各项攻击手段都需要交易所建立一个安全可靠的交易系统才能有效防范。

解决系统安全的问题最有效的方式是使用专业、严谨的系统架构作为使用最频繁的模块(比如:行情、交易、监控等),首先交易所要有足够的系统资源来支撑模块的高效稳定运行。这就要求交易所做好基础设施的安全保护,包括主机(或者云主机)、域名、CDN等底层服务的安全,网络设备、操作系统平台的安全,访问控制和权限管理,各种对外接口的安全管控等。

其次,在模块不稳定甚至是下线的情况下,应该保证有足够的后备措施来预防此类事件的发生,或是将影响降到最低。一个成熟的交易平台,各模块都应该有两个以上的运行实例,在其中一个实例出现问题之后,其它实例应能做到无缝转换,保证客户服务不受影响。

除了使用安全、严谨的系统构架外,在直接涉及资产转移的充提币环节,交易所也需要进行足够的安全审核。一旦出现异常情况,能够及时暂停充提避免用户损失。

现阶段交易所们对充提币环节已足够重视,黑客想直接从交易所提走数字资产并不容易。但这不意味着黑客们束手无策,随着交易所安全性的提高,黑客的获利手段也在不断升级。去年发生的多起安全事故中,黑客在控制部分账户后,通过大规模抛售某个币种以打压币价,同时在其他账号或其他交易所大规模做空该币种并以此获利。由于黑客可以将空单分散在多个交易所的多个账号使其无法追踪,该获利方法已成为黑客常用手段之一。

因此,交易所除了严守充提币环节这一最后底线外,更需要在源头上防止包括用户帐号、钱包私钥在内的敏感信息泄露,并对用户身份进行严格验证。这里所说的用户不限于真实个人,同时也包括通过API接口访问的机器设备等。交易所可以采用生物识别、pin码、数字证书、硬件认证设备等方法对用户身份进行全面、深入的验证,避免用户身份被冒用。此外,做好投资者安全教育,防止用户在交易所以外的场所泄露相关信息,也是交易所应尽的责任与义务。

 

防止“黑天鹅”事件

除了被黑客攻击外,一些“黑天鹅”事件的发生也会导致交易所用户损失惨重,这其中包括政策风险、运营风险等。

目前全球对数字资产态度仍未统一,出于不同目的,各国对数字资产交易所的态度及准入标准也各不相同。在政府态度尚未完全明确时,交易所需要推进全球化布局,争取获得更多国家或地区的牌照或许可,才能在某个国家政策变化时保证交易所正常运营。

在交易所安全事件原因汇总中,“监守自盗”或“疑似监守自盗”所占比例同样不小。运营风险是投资者在挑选交易所时需要重点考虑的因素之一。一家希望长远发展的正规交易所应该实现公平、公开、公正的交易环境,保证数据的透明性。这需要交易所通过引入可信第三方,对交易所的数据和操作日志等信息进行定时/不定时的安全审计,一方面让外部公众有充分的知情权,另一方面也可以帮助交易所及时发现内部的安全隐患。

安全是交易所的生命线。出现安全问题不仅会伤害到用户,更会透支交易所的公信力。维护系统安全,保障用户资金将是所有交易所不变的责任和义务。

本文链接:https://www.8btc.com/media/380170
转载请注明文章出处

评论(1)
登录 账号发表你的看法,还没有账号?立即免费 注册
笑傲区块链 2019-03-27
比起传统金融,币圈交易所在安全方面的投入太少了
下载
阅读
分享
评论
1
点赞
3
上一篇
下一篇