文章来源|100BLOCK文章作者?|?张阿梅
张亮,拥有多年信息安全领域从业经验,专注网络安全、互联网安全、云安全、区块链安全领域,深挖各行业的安全场景,致力于提供最优的解决方案帮助用户解决严峻的安全隐患。曾为国家开发投资集团有限公司、中国科协、教育部、文化部、北京比特大陆科技有限公司、北京火币天下网络技术有限公司等各行业客户提供安全解决方案,具备丰富的项目实战经验。
问题一:开门见山,请问张总交易所常见的安全风险都有哪些?
张亮:第一类风险为可用性风险。攻击者通过DDoS攻击、CC攻击、跨站脚本攻击等方式,降低数字货币交易平台的可用性,使平台在一定时间内无法向用户提供数字货币交易服务,从而影响数字货币交易平台的正常运营。
其次为黑客入侵风险:攻击者通过漏洞利用、端口扫描等手段,探测平台安全隐患,寻找入侵机会,窃取账户信息、数字货币等,直接造成用户利益受损。
智能合约风险:智能合约一经发布,所有人可见,并且无法修改,所以已发布的智能合约一旦发现了重大安全漏洞,将严重影响整个项目,甚至导致项目失败。
马斯克暗示回应更换BAYC头像:我不知道,似乎有点同质化:金色财经报道,马斯克5月4日将推特头像更换为BAYC NFT,针对此事,苏富比副总裁在社交媒体@马斯克称,我很欣赏你的作品,我希望你能把我为我们的苏富比拍卖会创作的pfp删除。或者你如果相信我,我很高兴把经买方同意的原始文件发给你。
马斯克随后发文暗示回应更换BAYC头像,他表示:我不知道,似乎有点同质化。(注:NFT意为非同质化代币,即不可替代)[2022/5/4 2:49:39]
薅羊毛风险:在推广阶段攻击者及黑产通过「猫池」、「接码平台」批量的注册账号,并利用这些账号在应用平台或项目方的各个渠道中「抢糖果」使应用平台及项目方用于推广获客的资金「打水漂」。智能合约的安全漏洞,一旦可以超发,大金额流通也会蒸发,这个时候需要及时的锁仓、停止交易,并通过代币兑换的方式上线新合约,对已发的token进行替换,止损。
钓鱼网站安全风险:恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码,并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币,利用数字货币交易平台的价格差甚至数字货币期货套现,非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁,一旦访问到钓鱼网站受,往往会在舆论上对正常的应用平台进行谴责,对应用平台的良好信誉带来巨大的损失。
FilDA已通过知道创宇安全审计:据FilDA社区消息,知道创宇近日已完成FilDA智能合约项目的安全审计服务。 据介绍,据了解,FilDA,是首个基于火币生态链HECO的跨链借贷项目,旨在打造领先的H系资产+以太坊+ELA等多链资产的去中心化金融综合服务平台。
FilDA于2021年1月5日晚20:00开启创世挖矿,目前已上线火币钱包、TokenPocket钱包、Bitkeep钱包。1月13日20点将首发HPT借贷功能并在CircleSwap开启流通性质押挖矿。截止2021年1月12日,TVL突破1400万USDT。[2021/1/12 16:00:17]
内网安全风险:由于区块链行业的快速发展,项目方均在同时间赛跑,务求用最短的时间让公链、平台、项目上线运营,从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。
根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计,在GitHub、GitLab、CSDN等国际知名的开发者网站及平台上,大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况,攻击者可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序,并潜伏,等待时机发起「致命一击」。
研究:暗网犯罪分子可能不知道Zcash的匿名性:兰德公司(Rand Corporation)最近的一项研究表明,在暗网中出于非法目的使用Zcash的人可能无法完全理解其底层技术,很多犯罪分子并不知道Zcash的匿名性。该研究强调,大多数犯罪分子没有使用可屏蔽的Zcash支付,否则将有助于保护他们的身份。研究人员推测,这些人“要么不了解Zcash的运营模式,要么不知道Zcash本身”。(Fxstreet)[2020/5/9]
问题二:那针对以上安全风险,交易所可以采取哪些措施进行有效应对?
张亮:首先针对可用性风险,交易所可以使用云抗D服务进行应对,有效防御DDos攻击、CC攻击。针对黑客入侵,可以采取主动漏洞挖掘和web应用层攻击防护的方式进行防御。云WAF可以防御包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击,有效防御黑客入侵。
采用第三方安全公司的渗透测试服务可以先于黑客找到自身存在的漏洞,及时整改加固,增强自身安全性。智能合约问题同样可以采购第三方安全公司的智能合约审计服务,对智能合约源码中的隐私泄漏、交易溢出与异常、代币转入转出风险、合约故障、拒绝服务等问题进行深度源码审计,在项目上线前尽可能多的暴露和解决问题,确保项目顺利执行。
声音 | Omer Ozden::Libra让各国知道加密货币必须支持,走的慢的会被甩到后面:7月25日晚九点,石木资本创始人兼CEO、RockTree LEX创始人、Facebook法律顾问及美国国会小组成员Omer Ozden在“No.21 499小姐姐人物访谈”接受Brink Asset CEO Grace访谈时表示,7月对于加密货币非常重要,因为在Libra听证会举行的7天内,最强大的政府都发表了关于加密货币的重要声明,美国总统特朗普、英国领导、中国人民银行领导、美国议会和国会,同时还有世界上其他的政府。Facebook让所有的科技公司、投资银行、商业银行和所有的世界领导者理解了两件事,一是加密货币必须支持,二是走的慢的会被甩到后面,因为正如中国人爱说的一句“币圈一天,人间一年”。[2019/7/26]
针对羊毛党可以采购反欺诈服务,通过风控模型能够准确识别羊毛号、黑产小号等,降低黑产通过该种手段造成的刷糖果币、抢优惠、奖励的行为,使交易所和项目真正达到宣传、推广的效果。
针对内网安全问题在可以在办公环境内部署多个即插即用的「诱终端」,部署到不同的业务网络中,终端之间相互通信,达到高度伪装。利用「敏感信息」诱导黑客攻击,记录攻击过程,并通过微信、邮件等方式发出预警。
声音 | 巴西总统:不知道比特币是什么:据Cointelegraph报道,巴西总统Jair Bolsonaro表示,他不知道比特币是什么,并且赞同暂停一项为土著人民提供一种加密货币的项目。据悉,该加密货币项目由全国印第安人基金会(FUNAI)和联邦弗鲁米嫩大学(UFF)发起,价值4490万巴西雷亚尔(1150万美元)。[2019/6/6]
群友哈迪斯:不通过安全审计,通过代币激励内测邀请安全人士共同反馈问题,这种手段有效吗?
张亮:激励的尺度大小直接影响了参与测试的人员技术水平,进而会影响测试质量。
问题三:刚刚看您提到云防火墙,交易所在选择云服务厂家时,应该注重哪些点?
张亮不仅仅是云WAF,还有云抗D,在选择厂商时我建议关注以下几点:首先服务商要有交易所行业案例;其次,尽量选择知名度高、市场占有率高、产品和服务相对成熟的厂商。针对抗DDos攻击,要选择带宽储备充足、抗CC攻击能力突出的服务商,最后要选择注重服务的厂商,应急响应一定要及时。出现攻击及时对接,不走工单。
问题四:交易所渗透测试的流程是什么样的?测试内容都有哪些?
张亮:知道创宇在做渗透测试的时候首先会收集交易所的信息,包括域名,交易所业务情况、后台管理系统、钱包信息等;其次,开展渗透测试,对交易所网站、后台管理系统、APP以及承载相关业务的基础环境进行渗透测试;最后是编写报告并交付。
从测试重点角度,交易所渗透测试一方面是检测是否存在安全漏洞,更重要的是检测交易所及钱包的越权操作、信息泄露的问题,避免出现用户信息泄露、异常操作的问题。
**问题五:多次有人提到以太坊的智能合约问题,认为其灵活性带来了巨大安全漏洞?您是怎么看待的?
张亮:以太坊智能合约的灵活性带来了很大的安全问题,但不能否定它的可用性,就像微软系统一样,也存在很多的漏洞,我们不也一样在使用么,每个系统都不是完美的,都会存在缺陷,所以我们在使用的时候就要尽量的通过技术手段规避这些漏洞,尽可能的做到安全,这也是为什么我们设计好智能合约以后,还要找专业的安全机构做审计的原因。
问题六:如果不做智能合约审计对交易所有什么影响?
张亮:如果智能合约未经审计直接上线交易所,智能合约中如果存在重大安全隐患,一旦爆发,将导致项目直接失败,对交易所的声誉造成巨大影响,由于项目失败也必将对交易所中该代币进行冻结、下线等一系列相关措施,影响交易所的正常运转。
问题七:智能合约审计都涵盖了哪些内容?整个审计周期大概是多久?
张亮:知道创宇的智能合约审计服务包括了重入漏洞、访问控制、整数溢出、未检查返回值调用、拒绝服务、错误使用随机数、事物顺序依赖性、时间戳依赖、短地址攻击等内容。审计周期在1到3天,如果紧急可以做加急处理。
群友哈迪斯:张总这边流程完善,经验丰富,我比较好奇之前有成功预防过什么典例型漏洞?怎么快速解决的?
张亮:我们的一些智能合约审计项目确实发现过一些问题,在报告中会给出我们的整改建议,协助进行整改。
问题八:用户合约审计只想针对整数溢出问题进行审计,这样审计行不行,对价格有没有影响?
张亮:智能合约审计,不管做哪个检查,都是要把所有合约代码审一遍,所以仅检查一项,和检查所有项,价格几乎一样。知道创宇要出智能合约审计报告就需要针对每一项都进行检测,也是对上币方负责。
问题九:已经发布的智能合约可以做审计吗?
张亮:智能合约具有不可逆的特性,一旦上线不易修改,上线后的智能合约可以通过审计服务,检测是否存在安全隐患,如果存在,需要及时进行下线或者应急处置。已经发布的智能合约可以做审计,现在很多大的交易所都在对之前上币没有做过审计的上币项目做复审。
**问题十:我们都知道在线钱包被盗事件很多,那么在线钱包怎么保证安全?
张亮:在线钱包基本都是通过网页的形式来进行访问,主要威胁有跨站脚本攻击,账号被暴力破解和利用,以及交易记录和余额信息不被篡改;这些问题是可以用知道创宇的Web应用级防火墙做安全防护,通过渗透测试做主动漏洞挖掘。主动挖掘漏洞和被动防御相结合,防护效果更好。
问题十一:如果钱包地址暴露在公网,有什么风险?
张亮:钱包地址暴露在公网后,所有人均可以通过查询searchain.io,就可以知道钱包内有多少token,价值多少钱,历史转账信息,通过哪个交易所开过户等用户隐私信息。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
链闻看天下
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626961.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
黑客大军「撞库」攻击交易所,是谁泄露了用户数据?
下一篇:
以太坊技术|Solidity函数修改器以及异常处理
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。