区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > FIL币 > 正文

HAI:知道创宇安全顾问张亮:交易所安全大起底_OIN

作者:

时间:

文章来源|100BLOCK文章作者?|?张阿梅

张亮,拥有多年信息安全领域从业经验,专注网络安全、互联网安全、云安全、区块链安全领域,深挖各行业的安全场景,致力于提供最优的解决方案帮助用户解决严峻的安全隐患。曾为国家开发投资集团有限公司、中国科协、教育部、文化部、北京比特大陆科技有限公司、北京火币天下网络技术有限公司等各行业客户提供安全解决方案,具备丰富的项目实战经验。

问题一:开门见山,请问张总交易所常见的安全风险都有哪些?

张亮:第一类风险为可用性风险。攻击者通过DDoS攻击、CC攻击、跨站脚本攻击等方式,降低数字货币交易平台的可用性,使平台在一定时间内无法向用户提供数字货币交易服务,从而影响数字货币交易平台的正常运营。

其次为黑客入侵风险:攻击者通过漏洞利用、端口扫描等手段,探测平台安全隐患,寻找入侵机会,窃取账户信息、数字货币等,直接造成用户利益受损。

智能合约风险:智能合约一经发布,所有人可见,并且无法修改,所以已发布的智能合约一旦发现了重大安全漏洞,将严重影响整个项目,甚至导致项目失败。

Vitalik Buterin:开发人员还不知道“Merge + surge + verge + purge + splurge”的执行顺序:金色财经报道,以太坊联合创始人“V神” Vitalik Buterin 今日在社交媒体上发文称“Merge + surge + verge + purge + splurge”不是5个阶段,而是会并行发生。在回应加密社区质疑“合并后不会立即发生所有事情”的问题时,Vitalik Buterin 进一步解释说,这一切都是同时发生,实际的部署会在单独的硬分叉进行,但是不同的团队正在并行完成工作,在某些情况下,开发人员甚至还不知道事情的执行顺序。[2022/7/26 2:38:57]

薅羊毛风险:在推广阶段攻击者及黑产通过「猫池」、「接码平台」批量的注册账号,并利用这些账号在应用平台或项目方的各个渠道中「抢糖果」使应用平台及项目方用于推广获客的资金「打水漂」。智能合约的安全漏洞,一旦可以超发,大金额流通也会蒸发,这个时候需要及时的锁仓、停止交易,并通过代币兑换的方式上线新合约,对已发的token进行替换,止损。

钓鱼网站安全风险:恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码,并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币,利用数字货币交易平台的价格差甚至数字货币期货套现,非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁,一旦访问到钓鱼网站受,往往会在舆论上对正常的应用平台进行谴责,对应用平台的良好信誉带来巨大的损失。

声音 | 福布斯财务委员会成员:Ripple有很多产品可以提升XRP的价值 但没人知道XRP可以达到什么水平:福布斯财务委员会成员David Gokhshtein发推文称,Ripple公司将尽一切可能使XRP有价值。他们有很多很棒的产品(如:xRapid)可以提升它的价值。但是没有人知道它会达到什么水平。[2019/7/29]

内网安全风险:由于区块链行业的快速发展,项目方均在同时间赛跑,务求用最短的时间让公链、平台、项目上线运营,从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。

根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计,在GitHub、GitLab、CSDN等国际知名的开发者网站及平台上,大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况,攻击者可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序,并潜伏,等待时机发起「致命一击」。

问题二:那针对以上安全风险,交易所可以采取哪些措施进行有效应对?

张亮:首先针对可用性风险,交易所可以使用云抗D服务进行应对,有效防御DDos攻击、CC攻击。针对黑客入侵,可以采取主动漏洞挖掘和web应用层攻击防护的方式进行防御。云WAF可以防御包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击,有效防御黑客入侵。

声音 | Omer Ozden::Libra让各国知道加密货币必须支持,走的慢的会被甩到后面:7月25日晚九点,石木资本创始人兼CEO、RockTree LEX创始人、Facebook法律顾问及美国国会小组成员Omer Ozden在“No.21 499小姐姐人物访谈”接受Brink Asset CEO Grace访谈时表示,7月对于加密货币非常重要,因为在Libra听证会举行的7天内,最强大的政府都发表了关于加密货币的重要声明,美国总统特朗普、英国领导、中国人民银行领导、美国议会和国会,同时还有世界上其他的政府。Facebook让所有的科技公司、投资银行、商业银行和所有的世界领导者理解了两件事,一是加密货币必须支持,二是走的慢的会被甩到后面,因为正如中国人爱说的一句“币圈一天,人间一年”。[2019/7/26]

采用第三方安全公司的渗透测试服务可以先于黑客找到自身存在的漏洞,及时整改加固,增强自身安全性。智能合约问题同样可以采购第三方安全公司的智能合约审计服务,对智能合约源码中的隐私泄漏、交易溢出与异常、代币转入转出风险、合约故障、拒绝服务等问题进行深度源码审计,在项目上线前尽可能多的暴露和解决问题,确保项目顺利执行。

声音 | Morgan Creek创始人:没有任何政府或央行不知道比特币 比特币震惊了世界:Morgan Creek创始人Anthony Pompliano刚发推表示,没有任何政府或央行不知道比特币。比特币震惊了世界。[2019/7/15]

针对羊毛党可以采购反欺诈服务,通过风控模型能够准确识别羊毛号、黑产小号等,降低黑产通过该种手段造成的刷糖果币、抢优惠、奖励的行为,使交易所和项目真正达到宣传、推广的效果。

针对内网安全问题在可以在办公环境内部署多个即插即用的「诱终端」,部署到不同的业务网络中,终端之间相互通信,达到高度伪装。利用「敏感信息」诱导黑客攻击,记录攻击过程,并通过微信、邮件等方式发出预警。

群友哈迪斯:不通过安全审计,通过代币激励内测邀请安全人士共同反馈问题,这种手段有效吗?

张亮:激励的尺度大小直接影响了参与测试的人员技术水平,进而会影响测试质量。

问题三:刚刚看您提到云防火墙,交易所在选择云服务厂家时,应该注重哪些点?

张亮不仅仅是云WAF,还有云抗D,在选择厂商时我建议关注以下几点:首先服务商要有交易所行业案例;其次,尽量选择知名度高、市场占有率高、产品和服务相对成熟的厂商。针对抗DDos攻击,要选择带宽储备充足、抗CC攻击能力突出的服务商,最后要选择注重服务的厂商,应急响应一定要及时。出现攻击及时对接,不走工单。

最新调查:10个日本人中仅有2个不知道比特币:德国达利亚咨询有限公司(Dalia)5月9日发布一份报告,对数字货币在全世界的普及度进行调查。该报告从对数字货币的认知、理解、持有和购买倾向四个方面入手,对拥有最大加密货币市场的8个国家(美国、英国、德国、巴西、日本、韩国、中国和印度)超过29000名互联网用户进行调查。根据此调查样本,10个韩国人中,有8.7个知道数字货币;10个日本人中,有8.3个知道数字货币。[2018/5/11]

问题四:交易所渗透测试的流程是什么样的?测试内容都有哪些?

张亮:知道创宇在做渗透测试的时候首先会收集交易所的信息,包括域名,交易所业务情况、后台管理系统、钱包信息等;其次,开展渗透测试,对交易所网站、后台管理系统、APP以及承载相关业务的基础环境进行渗透测试;最后是编写报告并交付。

从测试重点角度,交易所渗透测试一方面是检测是否存在安全漏洞,更重要的是检测交易所及钱包的越权操作、信息泄露的问题,避免出现用户信息泄露、异常操作的问题。

**问题五:多次有人提到以太坊的智能合约问题,认为其灵活性带来了巨大安全漏洞?您是怎么看待的?

张亮:以太坊智能合约的灵活性带来了很大的安全问题,但不能否定它的可用性,就像微软系统一样,也存在很多的漏洞,我们不也一样在使用么,每个系统都不是完美的,都会存在缺陷,所以我们在使用的时候就要尽量的通过技术手段规避这些漏洞,尽可能的做到安全,这也是为什么我们设计好智能合约以后,还要找专业的安全机构做审计的原因。

问题六:如果不做智能合约审计对交易所有什么影响?

张亮:如果智能合约未经审计直接上线交易所,智能合约中如果存在重大安全隐患,一旦爆发,将导致项目直接失败,对交易所的声誉造成巨大影响,由于项目失败也必将对交易所中该代币进行冻结、下线等一系列相关措施,影响交易所的正常运转。

问题七:智能合约审计都涵盖了哪些内容?整个审计周期大概是多久?

张亮:知道创宇的智能合约审计服务包括了重入漏洞、访问控制、整数溢出、未检查返回值调用、拒绝服务、错误使用随机数、事物顺序依赖性、时间戳依赖、短地址攻击等内容。审计周期在1到3天,如果紧急可以做加急处理。

群友哈迪斯:张总这边流程完善,经验丰富,我比较好奇之前有成功预防过什么典例型漏洞?怎么快速解决的?

张亮:我们的一些智能合约审计项目确实发现过一些问题,在报告中会给出我们的整改建议,协助进行整改。

问题八:用户合约审计只想针对整数溢出问题进行审计,这样审计行不行,对价格有没有影响?

张亮:智能合约审计,不管做哪个检查,都是要把所有合约代码审一遍,所以仅检查一项,和检查所有项,价格几乎一样。知道创宇要出智能合约审计报告就需要针对每一项都进行检测,也是对上币方负责。

问题九:已经发布的智能合约可以做审计吗?

张亮:智能合约具有不可逆的特性,一旦上线不易修改,上线后的智能合约可以通过审计服务,检测是否存在安全隐患,如果存在,需要及时进行下线或者应急处置。已经发布的智能合约可以做审计,现在很多大的交易所都在对之前上币没有做过审计的上币项目做复审。

**问题十:我们都知道在线钱包被盗事件很多,那么在线钱包怎么保证安全?

张亮:在线钱包基本都是通过网页的形式来进行访问,主要威胁有跨站脚本攻击,账号被暴力破解和利用,以及交易记录和余额信息不被篡改;这些问题是可以用知道创宇的Web应用级防火墙做安全防护,通过渗透测试做主动漏洞挖掘。主动挖掘漏洞和被动防御相结合,防护效果更好。

问题十一:如果钱包地址暴露在公网,有什么风险?

张亮:钱包地址暴露在公网后,所有人均可以通过查询searchain.io,就可以知道钱包内有多少token,价值多少钱,历史转账信息,通过哪个交易所开过户等用户隐私信息。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

链闻看天下

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626961.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

黑客大军「撞库」攻击交易所,是谁泄露了用户数据?

下一篇:

以太坊技术|Solidity函数修改器以及异常处理

标签:HAIAICCOINOINvntchainHaicoincoinsciousnetworkcoinone中文版app

FIL币热门资讯
NAN:从模式到共振:万变的资金盘,不变的庞氏局_binance

百年之前的原版「庞氏局」中,一年左右的时间里,四万多名波士顿市民变成庞兹的投资者,其中大部分是怀抱发财梦想的穷人,庞兹共收到约1500万美元的小额投资,平均每人「投资」几百美元.

Vollar:三星将区块链技术纳入其“数字化转型框架”_vollar币行情

作者:JohnBiggs翻译:Maya暴走时评:在三星在首尔举行的Real2019活动中,三星SDS首席执行官HongWon-pyo表示该公司计划在其企业IT解决方案包中添加区块链技术.

COIN:探索通证经济新模式:一条公链如何玩转两个代币_coinbase下载app官方

上世纪90年代,有这样一个团体,成员有加密学爱好者,有计算机科学家,有黑客,还有一些自由主义爱好者,他们希望能够通过互联网加密运动,去实现中心化的点对点加密通信以及互联网点对点的货币.

MAT:公告:GoWithMi关于保护市场公平交易秩序而暂停合约转账功能的声明_matic币能涨到100美元

因近日发现以太坊网络上出现GMAT虚假合约,同时有交易平台擅自发布关于开通GMAT交易的虚假信息,为避免各类虚假信息对广大GMAT爱好者造成误导,保障GMAT爱好者的利益.

比特币:比特币行情|BTC现价7891.12美元_Impostors Blood

据巴比特App数据显示,截至05月21日09:00,比特币当前价格为$7891.12(¥55395.66),上涨0.1%,换手率为16.49%,比特币市值占比56.9%.

XRP:主流方向将很快选出 有一类币或持续疯狂_LTC

本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸!本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议.