截至2018年3月，流通中的加密貨幣達1000多種，總市值超過4000億美元，而一年前僅為190億美元。雖然加密貨幣的底層區塊鏈技術在大多數情況下是天生安全的，但隨著採用的迅速增加，瞭解加密貨幣易受攻擊的弱點，以及生態系統的不同參與者如何保護自己的投資變得非常緊迫。本文將幫助參與者理解加密貨幣的漏洞，提高安全性，包括：· ICO發行人，投資者在其網站上傳送他們的貨幣。· 通常持有和交易數百萬美元的資產的加密貨幣交易所的運營商。· 選擇交易所的加密貨幣所有者，保護他們的加密貨幣錢包。新興加密貨幣行業的弱點

以下是加密貨幣生命週期中安全面臨風險的一些關鍵階段：· ICO發行人的網站（ICO的發行地和投資者的貨幣匯出地）可能會受到攻擊，從而干擾發行和之後對加密貨幣的支援。有一個案例，發行網站被駭客攻擊，更改了傳送投資的地址，從而轉移了部分發行資產。ICOs網站一直受到DDoS攻擊，使其無法使用，並使ICO遭到了破壞。· 在任意時間點都持有數百萬美元的資產的加密貨幣交易所，實時交易大量資產。這些網站可能會被交易淹沒或被攻擊。在某些情況下，DDoS攻擊會導致交易所在一段時間內不可用。· 加密貨幣錢包：必須選擇一個交易所的加密貨幣的所有者，以及保護他們加密貨幣的錢包。駭客使用竊取的證書或釣魚攻擊的證書填充技術，竊取私人和線上錢包的資金。初始代幣發行服務於加密貨幣的網站或移動應用程式就與普通網站一樣易受攻擊，對攻擊者來說，它們是一個個特別誘人的目標。ICO網站遭到攻擊，推遲發行，甚至被抽走了部分發行的加密貨幣。在一種情況下，攻擊者使用醜化攻擊（defacing attack）將官方貢獻地址轉換為攻擊者的匿名地址。結果，Ether被重定向到錯誤地址幾分鐘。

ICO也經常受到大容量網路或應用層DDoS攻擊。由於交易量龐大，ICO網站需要採取以下措施來提供高水平的保護：· 身份驗證：透過要求強密碼和雙因子身份驗證，防止未經授權的訪問者進入。在失敗的登入嘗試中，不要透露多於所需的資訊，例如登入的哪一部分是不正確的。· 更新軟體和作業系統：許多執行站點的軟體應用程式可能存在漏洞。保持所有軟體的最新版本和補丁，防止出現漏洞。· 驗證客戶端輸入和伺服器上的所有輸入。防止惡意內容的注入，比如SQL隱碼攻擊和跨站點指令碼。有關web漏洞的更多資訊，請參閱OWASP前10。· 加密：整個網站使用HTTPS。

· 限制對管理頁面的訪問：只允許選定的管理使用者訪問站點管理url。最重要的是，使用企業級web應用程式防火牆保護站點。WAF將防止所有web應用程式攻擊，並控制對站點和應用程式的訪問。貨幣交易所想要購買或交易加密貨幣的人有眾多交易所供他們挑選，交易所的安全措施和可用性是必需考慮因素，確儲存儲的資產得到保護，潛在的交易不受交易所意外延遲的影響。這種延遲可由下列原因引起：· DDoS攻擊，導致交易所在一段時間內無法進行交易。· 站點無法處理大量的乾淨交易，例如資料庫超載或伺服器資源超載，從而導致服務降級。

據Incapsula網站最新發布的《全球DDoS威脅狀況報告》報道，使用其服務的加密貨幣網站位居最易受DDoS攻擊的十大行業之列。雖然Incapsula網站順利規避了這些攻擊，但也有一些關於加密貨幣交易所的破壞性攻擊的報道。過去幾個月，上面兩種情況都出現過，而且隨著對加密貨幣的需求不斷增長，這種情況可能會繼續下去。此外，交易所也是攻擊的一個關鍵目標，因為它們充當了錢包的角色，在任意時間點都可能存入價值數億美元的加密貨幣。因此，請選擇具有可用和安全記錄的交易所。API通常是加密貨幣交易所網站的弱點，因為它們的有效負載結構通常是專有的，這使得很難識別惡意速率或有效負載。因此，它們經常成為DDoS或其他攻擊的載體。要提供預期的服務級別，交易所必須考慮以下措施來降低服務降級的風險：· 提供足夠的頻寬以滿足需求。在一個需求迅速增長的市場中，增加頻寬可能是一個持續的挑戰。除了這個挑戰之外，不太可能減輕我們正在目睹的大規模DDoS攻擊。· 監控流量，檢測網站何時受到DDoS攻擊。

· 識別和過濾流量，例如來自已知攻擊地址、已知機器人代理或已知的主要攻擊源的流量，檢測和阻止惡意使用者。· 保護帳戶承受攻擊，例如使用證書填充，提供如ICO網站所述的強大的網路保護。· 識別和過濾來自單個源或使用者會話、已知應用程式簽名和不符合已知HTTP協議的流量的過多請求，檢測和阻止惡意應用層請求。保護你的API（通常是網站保護的弱點），因為檢查其有效負載的合法性比較困難。它們可能由於誤報而無效，或者相反，支援載體攻擊。由於難以有效地實現這些措施，交易所可以實現提供所需服務水平的服務，防止這些攻擊。貨幣錢包

購買加密貨幣後，它會儲存在你的數字錢包裡。這樣，你可以接收和傳送你喜歡的加密貨幣。錢包儲存私鑰，私鑰表示對區塊鏈中一定數量貨幣的公鑰的所有權。由於不能重新建立私鑰，丟失金鑰就等於丟失了加密貨幣。如果有人獲取了金鑰，他就可以訪問加密貨幣。因此，錢包的安全儲存效能非常重要，錢包的選擇也很重要。就像你可以在不同的地方儲存現金，例如錢包或你的口袋，銀行或保險箱。以下是幾種儲存加密貨幣的錢包型別：· 軟體錢包：提供訪問加密貨幣的桌面或移動應用程式。由於只能從安裝錢包的裝置訪問錢包，軟體錢包具有高水平的安全性。但是，如果裝置出現了問題，你可能無法檢索自己的私鑰，從而丟失貨幣。· 線上錢包：線上錢包儲存在一個網站上，和其他儲存在雲中的資料一樣，可以從任何裝置訪問錢包。然而，這可能更容易受到攻擊，取決於第三方提供的安全性。資產被盜往往是證書填充的結果。從知名或不為人所知的網站竊取的使用者名稱和密碼在“暗網”上出售，通常是由殭屍網路在登入頁面上填充，直到使用者名稱/密碼組合生效。· 硬體錢包：指用於在本地儲存金鑰的專用物理裝置，安全性最高。要使用這款錢包，使用者只需將硬體錢包插入一個可上網的裝置，輸入錢包的pin，然後進行交易。我們建議採用以下步驟，保護你的加密貨幣：

· 線上小額：就像你通常不會在口袋裡放幾千美元一樣，儘量減少你在電腦或移動裝置中儲存的加密貨幣數量。維持日常使用所需的金額，以便容易訪問資金，並在更安全的環境（如硬體錢包）中保持餘量資金。· 備份：無論你使用哪種型別的錢包，確保所有的備份都是安全的。請記住，如果你丟失了錢包私鑰，你就丟失了加密貨幣。在不同的安全位置對不同型別的裝置（如USB和紙張）進行多次備份，增加各種恢復路徑。· 加密：用你永遠不會忘記的密碼加密你的錢包。考慮在安全的地方儲存一份密碼副本，比如保險庫。· 在你的環境中，採用額外安全層，例如登入和交易進行雙因子身份驗證。防止惡意軟體和使用病毒防護保護環境。· 使用推薦的錢包：如果你使用的是線上錢包，要謹慎選擇一個在安全服務方面享有聲譽的錢包。考慮使用一個與你交易所整合的錢包。· 使用唯一密碼，不要在其他網站使用，否則可能會導致未報告的證書被盜。

Incapsula保護建立一種新貨幣和建立一個交易所是一項複雜的業務。Incapsula網站保護和DDoS mitigation可以保護你的網站免受最先進的網站攻擊、DDoS和帳戶接管攻擊。Incapsula可以為你提供額外的基於雲的負載平衡和故障轉移或傳遞規則解決方案，使你的網站在操作方便的情況下最大化可用性。Web應用程式防火牆Incapsula網站的網路應用程式防火牆，連續四年被Gartner評為領先的WAF，它可以分析所有使用者對你的網路應用程式的訪問，保護你的應用程式免受網路攻擊，同時確保特定的技術，比如網路sockets不會被破壞。它可以防止所有web應用程式攻擊，包括OWASP十大威脅，並阻止惡意程式。Incapsula還可以根據各種因素過濾流量，從而控制哪些訪問者可以訪問你的應用程式。WAF分析web應用程式的各個方面，檢測攻擊，例如防止依賴於跨站點指令碼的站點損壞攻擊。有了這種保護，你的站點就可以避免惱人的驗證請求，如驗證碼、電子郵件確認或許多站點流行的雙因子身份驗證。DDoS保護

為了保護加密貨幣交易所和基礎網站，Incapsula網站的DDoS保護會自動檢測並減輕針對網站和網路應用程式的攻擊。Incapsula網站是唯一提供SLA（服務等級協議）保證的網站，能在10秒內發現並阻止攻擊。我們新的Behemoth 2平臺阻止了650 Gbps（千兆位元每秒）的DDoS氾濫，流量超過150 Mpps（百萬包每秒），還有剩餘容量。我們預計，隨著攻擊規模的不斷擴大，容量會得到進一步的測試。除了處理大容量攻擊外，Incapsula網站還專門針對這些型別的DDoS攻擊提供保護。· 複雜應用程式，或第7層，攻擊web伺服器上的應用程式。這些攻擊需要更小的容量才能生效，以每秒的資料包來衡量，但更難以檢測。Forrester Wave報告說，Imperva在檢測和減輕應用層攻擊的能力上首屈一指。· 由大量請求組成的大規模攻擊，這些請求透過許多站點提供的API進行編排。API流量以最小的誤報進行過濾。檢查這些實踐來保護你的API。CDN服務內容分發網路有效地解決了加密貨幣交易所的指數增長問題，並擴建他們的業務規模。除了DDoS服務保護，Incapsula CDN網站還提供了以下服務，幫助提高過載下加密貨幣交易所的穩定性。

· 全球內容分發網路（CDN）以其智慧快取和高速儲存和最佳化工具，提高網站的速度和效能。Incapsula網站部署了40多個pop後，大大提高了頁面載入時間。· Incapsula雲負載均衡能讓交易所輕鬆擴充套件，增加伺服器和故障轉移資料中心，並在不停機的情況下從雲新增傳輸和轉發規則。· 使用定義規則功能，保護證書填充和帳戶接管，為登入頁面提供額外保護，防止殭屍程式執行證書填充。規避了加密貨幣域中的主要帳戶接管威脅，駭客在該域中使用竊取的證書進行欺詐。· 對付暴力攻擊的傳統安全措施，阻止來自給定IP的/登入頁面的高速率請求。然而，最近有一些攻擊繞過了這類過濾器，以極低的速度在受感染的計算機中傳送數千個殭屍程式。即使是在低速率情況下，Incapsula CDN也可以防止攻擊，因為它可以阻止或增加任何到達/登入頁面的非人類訪問的難度，而不會減慢頁面載入速度。· 高階機器人分類和規避使用高階規則· API保護，極低的誤報率，同時保持高水平的保護，包括針對API的DDoS攻擊

有了這些服務，你就可以確保站點始終可用。結語加密貨幣的種類和數量在不斷增加，針對加密貨幣發起的攻擊，在規模、複雜性和頻率上都在不斷增加。相關機構必須瞭解對專用的和高階的WAF和DDoS保護服務的需求，將財務、操作和聲譽風險降至最低。本文概述的最佳做法將幫助各機構建立健全的規避戰略。這些措施包括監控應用程式和網路流量、檢測和過濾惡意使用者以及識別和阻止惡意請求。