数字货币:知道创宇安全顾问张亮：交易所安全大起底

文章来源|100BLOCK文章作者?|?张阿梅

张亮，拥有多年信息安全领域从业经验，专注网络安全、互联网安全、云安全、区块链安全领域，深挖各行业的安全场景，致力于提供最优的解决方案帮助用户解决严峻的安全隐患。曾为国家开发投资集团有限公司、中国科协、教育部、文化部、北京比特大陆科技有限公司、北京火币天下网络技术有限公司等各行业客户提供安全解决方案，具备丰富的项目实战经验。

问题一：开门见山，请问张总交易所常见的安全风险都有哪些？

张亮：第一类风险为可用性风险。攻击者通过DDoS攻击、CC攻击、跨站脚本攻击等方式，降低数字货币交易平台的可用性，使平台在一定时间内无法向用户提供数字货币交易服务，从而影响数字货币交易平台的正常运营。

其次为黑客入侵风险：攻击者通过漏洞利用、端口扫描等手段，探测平台安全隐患，寻找入侵机会，窃取账户信息、数字货币等，直接造成用户利益受损。

智能合约风险：智能合约一经发布，所有人可见，并且无法修改，所以已发布的智能合约一旦发现了重大安全漏洞，将严重影响整个项目，甚至导致项目失败。

Meta员工不满扎克伯格痴迷元宇宙：不知道要交付什么:金色财经报道，马克·扎克伯格对元宇宙的痴迷已经引发 Meta （原 Facebook）公司员工不满，他们认为“元宇宙已经成为扎克伯格唯一想谈论的事情”，以至于让许多为他工作的人感到沮丧。目前，Meta 公司已经组建特定于元宇宙的团队”，员工认为这是一个“将覆盖公司内所有团队”的团队，但不少人仍然非常困惑，一方面担心会煽动混乱和焦虑，另一方面是员工似乎并不真正知道要交付什么或做什么，Meta 迄今并没有连贯的元宇宙战略。（businessinsider）[2022/4/24 14:45:10]

薅羊毛风险：在推广阶段攻击者及黑产通过「猫池」、「接码平台」批量的注册账号，并利用这些账号在应用平台或项目方的各个渠道中「抢糖果」使应用平台及项目方用于推广获客的资金「打水漂」。智能合约的安全漏洞，一旦可以超发，大金额流通也会蒸发，这个时候需要及时的锁仓、停止交易，并通过代币兑换的方式上线新合约，对已发的token进行替换，止损。

钓鱼网站安全风险：恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码，并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币，利用数字货币交易平台的价格差甚至数字货币期货套现，非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁，一旦访问到钓鱼网站受，往往会在舆论上对正常的应用平台进行谴责，对应用平台的良好信誉带来巨大的损失。

BDM Protocol已通过知道创宇安全审计?达到五星安全等级:据官方消息，由众多机构领投的DeFi生态协议BDM Protocol已通过安全审计机构知道创宇的安全审计，且最终达到五星安全等级。

BDM Protocol CTO Minkevich 表示：BDM开发团队以BDM Protocol为基础，打造激励侧链，通过BDM通证的流通，打通DeFi金融生态，解决货币跨国流通及货币兑换等问题，并实现在质押借贷、流动性挖矿、合约交易、去中心化交易所等场景下的高价值流通。

BDM Protocol将于近期上线，并同步开启创世挖矿。[2021/1/31 18:31:54]

内网安全风险：由于区块链行业的快速发展，项目方均在同时间赛跑，务求用最短的时间让公链、平台、项目上线运营，从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。

根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计，在GitHub、GitLab、CSDN等国际知名的开发者网站及平台上，大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况，攻击者可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序，并潜伏，等待时机发起「致命一击」。

加密分析师：暂时不知道比特币下一个需求点在哪里:6月10日，加密货币分析师Joseph Young发推称，当前比特币似乎正处于一个奇怪的位置。因为机构，包括对冲基金和亿万富翁似乎更喜欢用现金和低风险债券来对冲风险，而从纳斯达克的表现来看，散户正忙着买股票。因此暂时还不能明确比特币下一个需求点来自哪里。[2020/6/10]

问题二：那针对以上安全风险，交易所可以采取哪些措施进行有效应对？

张亮：首先针对可用性风险，交易所可以使用云抗D服务进行应对，有效防御DDos攻击、CC攻击。针对黑客入侵，可以采取主动漏洞挖掘和web应用层攻击防护的方式进行防御。云WAF可以防御包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击，有效防御黑客入侵。

采用第三方安全公司的渗透测试服务可以先于黑客找到自身存在的漏洞，及时整改加固，增强自身安全性。智能合约问题同样可以采购第三方安全公司的智能合约审计服务，对智能合约源码中的隐私泄漏、交易溢出与异常、代币转入转出风险、合约故障、拒绝服务等问题进行深度源码审计，在项目上线前尽可能多的暴露和解决问题，确保项目顺利执行。

金色独家 知道创宇：应对交易所两类安全威胁 循因施策:金色财经独家专访，目前交易所面临的安全隐患比较多，知道创宇作为安全公司从技术的角度分析认为，安全威胁主要为：第一针对交易所平台可用性的威胁，如：DDoS攻击、CC攻击、Web应用安全攻击等；第二针对交易所用户隐私信息的威胁，如：利用安全漏洞进行入侵获取管理权限，盗取数据或者利用平台用户的安全意识薄弱，通过钓鱼网站取用户隐私信息，还有黑客在交易所平台的运维或开发人员的机器上植入病、木马、后门程序来获取用户隐私信息，甚至交易所平台的私钥等。

对于如何鉴别监守自盗和黑客入侵行为，其认为：黑客入侵时，都需要在服务器或主机上留下操作痕迹或文件，比如病、木马、恶意程序等，可以通过安全服务人员的应急响应服务，对黑客的攻击进行抑制、阻断、恢复和溯源；内部人员监守自盗的情况，往往都和内部人员的管理权限过大同时又缺少监管的情况有关，所以发生的安全事件会是非常明显的非正常时间的正常操作，可以通过审计访问日志记录、操作记录的方式进行排查。[2018/6/16]

针对羊毛党可以采购反欺诈服务，通过风控模型能够准确识别羊毛号、黑产小号等，降低黑产通过该种手段造成的刷糖果币、抢优惠、奖励的行为，使交易所和项目真正达到宣传、推广的效果。

知道创宇404区块链安全研究团队发布预警 某虚拟货币正发生盗币事件:近日知道创宇 404 区块链安全研究团队通过网络空间搜索引擎 ZoomEye 发现有近两千个某著名区块链货币节点管理接口暴露在互联网上，问题严重的是，这些暴露的节点管理接口不需要任何登陆密码即可访问登陆。知道创宇 404 区块链安全研究团队通过测试发现，通过更改管理接口，将造成节点 SDK 地址等重要信息泄露，而这些 SDK 地址同样无需密码登陆即可访问，更为严重的是通过这些节点管理接口，可以恶意提交目的为任意地址的转账交易，实现盗币行为！知道创宇 404 区块链安全研究小组进一步跟进并通过部署对应蜜罐发现，已有恶意攻击者通过这些暴露的节点管理接口盗取该虚拟货币，相关平台应尽快自查节点安全，辨识钱包地址是否被篡改，知道创宇 404 区块链安全研究团队将持续跟进此次盗币事件。[2018/5/14]

针对内网安全问题在可以在办公环境内部署多个即插即用的「诱终端」，部署到不同的业务网络中，终端之间相互通信，达到高度伪装。利用「敏感信息」诱导黑客攻击，记录攻击过程，并通过微信、邮件等方式发出预警。

群友哈迪斯：不通过安全审计，通过代币激励内测邀请安全人士共同反馈问题，这种手段有效吗？

张亮：激励的尺度大小直接影响了参与测试的人员技术水平，进而会影响测试质量。

问题三：刚刚看您提到云防火墙，交易所在选择云服务厂家时，应该注重哪些点？

张亮不仅仅是云WAF，还有云抗D，在选择厂商时我建议关注以下几点：首先服务商要有交易所行业案例；其次，尽量选择知名度高、市场占有率高、产品和服务相对成熟的厂商。针对抗DDos攻击，要选择带宽储备充足、抗CC攻击能力突出的服务商，最后要选择注重服务的厂商，应急响应一定要及时。出现攻击及时对接，不走工单。

问题四：交易所渗透测试的流程是什么样的？测试内容都有哪些？

张亮：知道创宇在做渗透测试的时候首先会收集交易所的信息，包括域名，交易所业务情况、后台管理系统、钱包信息等；其次，开展渗透测试，对交易所网站、后台管理系统、APP以及承载相关业务的基础环境进行渗透测试；最后是编写报告并交付。

从测试重点角度，交易所渗透测试一方面是检测是否存在安全漏洞，更重要的是检测交易所及钱包的越权操作、信息泄露的问题，避免出现用户信息泄露、异常操作的问题。

**问题五：多次有人提到以太坊的智能合约问题，认为其灵活性带来了巨大安全漏洞？您是怎么看待的？

张亮：以太坊智能合约的灵活性带来了很大的安全问题，但不能否定它的可用性，就像微软系统一样，也存在很多的漏洞，我们不也一样在使用么，每个系统都不是完美的，都会存在缺陷，所以我们在使用的时候就要尽量的通过技术手段规避这些漏洞，尽可能的做到安全，这也是为什么我们设计好智能合约以后，还要找专业的安全机构做审计的原因。

问题六：如果不做智能合约审计对交易所有什么影响？

张亮：如果智能合约未经审计直接上线交易所，智能合约中如果存在重大安全隐患，一旦爆发，将导致项目直接失败，对交易所的声誉造成巨大影响，由于项目失败也必将对交易所中该代币进行冻结、下线等一系列相关措施，影响交易所的正常运转。

问题七：智能合约审计都涵盖了哪些内容？整个审计周期大概是多久？

张亮：知道创宇的智能合约审计服务包括了重入漏洞、访问控制、整数溢出、未检查返回值调用、拒绝服务、错误使用随机数、事物顺序依赖性、时间戳依赖、短地址攻击等内容。审计周期在1到3天，如果紧急可以做加急处理。

群友哈迪斯：张总这边流程完善，经验丰富，我比较好奇之前有成功预防过什么典例型漏洞？怎么快速解决的？

张亮：我们的一些智能合约审计项目确实发现过一些问题，在报告中会给出我们的整改建议，协助进行整改。

问题八：用户合约审计只想针对整数溢出问题进行审计，这样审计行不行，对价格有没有影响？

张亮：智能合约审计，不管做哪个检查，都是要把所有合约代码审一遍，所以仅检查一项，和检查所有项，价格几乎一样。知道创宇要出智能合约审计报告就需要针对每一项都进行检测，也是对上币方负责。

问题九：已经发布的智能合约可以做审计吗？

张亮：智能合约具有不可逆的特性，一旦上线不易修改，上线后的智能合约可以通过审计服务，检测是否存在安全隐患，如果存在，需要及时进行下线或者应急处置。已经发布的智能合约可以做审计，现在很多大的交易所都在对之前上币没有做过审计的上币项目做复审。

**问题十：我们都知道在线钱包被盗事件很多，那么在线钱包怎么保证安全？

张亮：在线钱包基本都是通过网页的形式来进行访问，主要威胁有跨站脚本攻击，账号被暴力破解和利用，以及交易记录和余额信息不被篡改；这些问题是可以用知道创宇的Web应用级防火墙做安全防护，通过渗透测试做主动漏洞挖掘。主动挖掘漏洞和被动防御相结合，防护效果更好。

问题十一：如果钱包地址暴露在公网，有什么风险？

张亮：钱包地址暴露在公网后，所有人均可以通过查询searchain.io，就可以知道钱包内有多少token，价值多少钱，历史转账信息，通过哪个交易所开过户等用户隐私信息。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

链闻看天下

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626961.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

黑客大军「撞库」攻击交易所，是谁泄露了用户数据？

下一篇：

以太坊技术|Solidity函数修改器以及异常处理

标签：数字货币非小号WEBDDOSume币数字货币艾坦星币非小号WEBNDDOS币

比特币最新价格热门资讯