金色公開課,由金色財經主辦,定位聯合行業頭部企業一起打造行業最全最專業的知識共享平臺。課程將以社群分享、線上直播、全網直播的方式打造行業最具影響力的線上欄目,累積100期課程,10萬以上社群覆蓋,千萬級內容展現。
金色財經聯合成都鏈安打造區塊鏈安全系列課程,邀請成都鏈安各領域安全負責人為大家講解區塊鏈安全方面知識。本期課程邀請成都鏈安交易所安全負責人Max擔任嘉賓,給大家講解交易所安全問題相關知識。
▼以下為課程詳情
問題一 安全性是衡量一個交易所是否可靠的重要因素之一,如果交易所發生安全事件,會帶來什麼影響?
Max:在2019年內,全球共發生超過28起交易所安全事件,其中超過7成為交易所加密資產被盜,其餘包括交易所跑路、交易所資訊洩露及其他資產丟失事件,共計產生超過13億美元的損失。
交易所頻頻被駭客“光顧”,除了造成資金方面的損失,更重要的是對品牌的傷害。如果被盜金額過大、處置不當,平臺甚至會因此倒閉。2017年12月,韓國交易所Youbit就因被駭客攻擊,導致近17%的加密資產被盜,最終不得不申請破產。
問題二 安全事件頻發,那麼,2020年有沒有發生過典型的交易所安全事件,能夠給我們警示?
Max:據成都鏈安區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)統計資料顯示,2020年第一季度,共發生超6起典型交易所安全事件:
1、FCcoin交易所入不敷出,兌付困難,交易所創始人稱資金缺口在7000-13000BTC之間。
2、新加坡交易所Coinhako在遭受攻擊後限制使用者取款,Coinhako發言人實施賬戶限制是防止『未經授權的交易』,3月1日將恢復運營能力。
3、去中心化加密衍生品交易所Digitex對外表示,一名前僱員盜取8000多名使用者的私人資訊。
4、OKEx、Bitfinex等交易所相繼遭到DDOS攻擊,紛紛出現宕機等情況,OKEx宣稱遭到至少600G流量DDOS。
5、3月初,美國司法部宣佈制裁涉嫌協助朝鮮駭客組織Lazarus Group洗幣的駭客田寅寅和李家東,並凍結了其所有資產。
6、駭客田寅寅和李家東曾在數家交易所使用假身份證和篡改後的照片,以繞過KYC流程。據統計,兩名中國公民被控從虛擬貨幣交易所駭客手中洗錢超過1億美元。
問題三 短短第一季度就發生這麼多起安全事件,駭客是如何繞過交易所的重重阻礙實現盜幣?
Max:透過對近期相關交易所安全事件的分析,成都鏈安技術團隊認為當前駭客主要的攻擊渠道還是以下三種:
1、駭客對交易所的API進行的攻擊嘗試。
2、駭客透過魚叉、水坑等方式嘗試攻擊交易所內部員工和管理人員的機器。
3、駭客透過釣魚網站等方式嘗試攻擊交易所的使用者。
問題四 駭客盜幣猖獗,成都鏈安對於交易所及使用者有什麼好的建議?
Max:熱門交易所FCoin的暴雷,ZG交易所平臺幣的暴跌以及多個交易平臺的退場,再次提醒作為使用者選擇加密貨幣交易所時需謹慎。目前頭部交易所佔據了80%的市場使用者,其餘中小交易所爭奪著剩餘20%的市場。激烈的競爭下,使得較為年輕化的工作群體爭相推出各種創新特色專案。然而,在透過創新特色專案吸引使用者的同時卻在安全以及長遠發展方面重視不夠,難以保證交易所資本穩定運營。
假充值問題已經是老生常談的問題了。從最開始假充值問題頻發的EOS,再到後來的以太坊及各種代幣,以及OMNI鏈上的USDT,都曾遭遇過假充值問題。
造成假充值的原因主要在於兩個問題,代幣的真實性驗證和交易的成功與否驗證。因此成都鏈安建議:交易所和錢包等專案方在驗證交易的時候應驗證交易是否成功、代幣是否正確,以避免假充值攻擊。
問題五 交易所面臨的安全問題嚴峻,成都鏈安採取了哪些措施保護交易所資產安全?
Max:交易所是距離使用者資產最近的地方,一直以來也是駭客攻擊的首當其衝的重要目標。因此,交易所的安全防護自然是重中之重的核心要素。作為區塊鏈行業生態鏈條的重要一環,交易所的安全問題甚至直接決定了區塊鏈行業生態的興亡。
據成都鏈安統計,2019年全年因區塊鏈安全問題而造成的損失總計超“60億”美元;其中,交易所所面臨的的安全風險則更為嚴峻。
因此我們建議:面對頻頻發生的駭客攻擊事件以及愈發“高明”的駭客攻擊手段,交易所各方應提高警惕,鳴響警鐘,切實守住行業生命線,透過與專業的安全公司展開合作,加固安全防線,建立完善和全面的安全防護機制。
依託於成都鏈安領先的技術實力以及豐富的區塊鏈安全攻防經驗,可為交易所提供反洗錢合規、安全態勢感知(威脅預警、報警和阻斷)、安全顧問、滲透測試、漏洞挖掘、防禦部署和威脅情報等全方位的安全服務,以幫助交易所構建起完善的安全保障體系。
迄今,成都鏈安已為已為近100家頭部交易所提供安全審計與防禦部署服務,專業的技術實力、全方位的服務和產品矩陣受到海內外交易所的一致認可。團隊申請軟體發明專利和著作權達15項。
問題六 2020年巨鯨2.6億丟幣事件影響巨大,普通使用者如何保護自己的加密數字貨幣資產?
Max:我們建議,普通使用者選擇大交易所,其次對於不選擇將資金儲存在大交易所的使用者來說,私鑰的保護和個人資訊的保護就是重中之重,最簡單也易實行的安全手段是環境分割,比如建立專門用於操作資金轉移或者交易的一套系統,包括手機,郵箱等,將生活和交易分隔開,用於操作交易所的手機環境應保證純淨,不安裝任何不必要的應用,不用於通訊,聊天,娛樂等與交易無關的活動,私鑰和助記詞的保管則建議使用原始但有效的紙張記錄的方式,避免使用截圖,截圖等形式透過網路傳輸。
問題七 對於普通使用者而言,有哪些維度可以衡量交易所是否安全?
Max:從安全的角度來看,交易所的安全等級主要體現在兩個維度,技術的維度和人的維度。
對於交易所來說,從內網架構、內網防護、業務邏輯再到網站的一個簡單驗證是否能做到安全,都體現了交易所在安全建設上的等級;而從掌握資金許可權的核心人員到直接對接廣大外界使用者的普通客戶的安全意識和對相關安全知識的熟悉程度則直接體現了交易所安全運營的能力。
問題八如果交易所盜幣事件發生在自己身上,有沒有辦法可以追回?
▲成都鏈安Beosin-AML『虛擬資產反洗錢及監管系統』
Max:成都鏈安有AML系統,大家可以關注一下,能夠實時跟蹤查詢被盜資產,並且出具證據鏈條,然後再和警方配合。大家有什麼被盜幣、被詐騙的情況都可以及時聯絡我們,我們很願意配合大家追回被盜資產。
Beosin-AML是一款數字資產調查取證和反洗錢合規系統。系統在海量地址標籤庫、區塊鏈大資料分析+人工智慧先進技術的基礎上,協助執法部門調查取證虛擬資產犯罪案件的證據鏈,快速定位資產流向,自動對交易做風險評分,實時監控風險交易和洗錢、欺詐等行為;幫助虛擬資產服務提供商(VASP)監測交易風險,對流入交易所的非法資金實時報警,履行反洗錢合規義務;幫助金融監管部門實時監督VASP資金流入和流出情況,分析評判VASP的合規行為。
