你清楚各加密貨幣交易所的執行流程嗎?他們承諾你資產的安全,你相信嗎?當駭客盜取加密資產時,加密交易所有幾成把握預防呢?最近一則訊息令人發抖:全球只有46%的加密貨幣交易所符合所需的安全引數,其餘54%被認為具有低於標準的安全措施,使數十萬交易商和投資者暴露無遺。
自2010年以來,共有13億美元從被駭客入侵的加密貨幣交易所中被盜,但似乎交易所運營商仍然未能認真對待安全問題。ICO評級公佈的安全報告在確定安全評級時考慮以下四個因素:
控制檯錯誤
使用者帳戶安全
註冊商和域名安全
Web協議安全性
控制檯錯誤
控制檯錯誤之前導致資料丟失,儘管這通常不是惡意攻擊的結果,而是編碼問題。該報告發現,32%的交易所存在導致運營故障的程式碼錯誤。
使用者帳戶安全
為了衡量這一點,分析師在每個交易所建立了一個單獨的帳戶,並檢查了密碼安全性以及電子郵件驗證和2FA措施。他們發現41%的交易所允許建立長度小於8個字元的密碼,因此被認為不安全。37%的交易所允許使用者僅使用字母或數字建立密碼而不將兩者結合起來,這也被認為是一個安全漏洞。
更嚴重的是,5%的交易所允許使用者在沒有電子郵件驗證的情況下建立賬戶,3%的交易所缺少2FA(雙因素身份驗證,要求使用者透過單獨的裝置確認他們的登入,被認為是資金保護的一個基本方面)。
註冊商和域名安全
分析師使用Cloudflare來識別有關其域名和註冊商的安全漏洞。
此處考慮了許多因素,例如登錄檔鎖定可防止任何使用帶登錄檔進行帶外通訊的人進行域名更改以及註冊商鎖定,從而透過加強安全措施(例如需要的不僅僅是授權程式碼)來防止域名劫持對於域訪問 - 角色帳戶通常用於保護敏感域資訊不被洩露。
分析師建議域名的6個月到期期限允許有關所有權等的併發症,並且已經過測試,DNSSEC的存在會使用加密簽名對所有DNS查詢進行身份驗證,以防止快取中毒。
分析師發現,只有4%的交易所在所有這些領域都使用最佳做法 - 只有2%的交易所使用登錄檔鎖定,10%的交易所使用DNSSEC,儘管沒有交易所完全忽略了所有5個引數。
Web協議安全性
使用HT Bridge的WebSec檢查Web協議的安全級別。分析師測試了URL中的HTTPS標頭,X-SXX保護標頭,內容安全策略標頭,x-frame-options標頭和x-content-type標頭。
只有10%的交易所使用了所有5種安全措施,其中29%使用上述任何一種,只有17%使用內容安全策略標頭。
分析師按照大多數到最不安全的順序對100個交易所進行排名。Coinbase Pro率先成為最安全的交易所,Kraken緊隨其後。BitMEX,GOPAX,UB Coin和CDPAX等佔據了前10名的其餘部分。
該報告強調了加密貨幣交換安全性的持續問題,並指出加密市場和加密交換安全和監管的性質“對駭客非常有吸引力”。
