行走笔记：成都链安，交易所安全，不能到被黑客攻击了再重视

明天比特币即将迎来历史上第三次减半。之前行走讲过，在这样的档口行走首先想到的是提示安全风险。前天输出了一篇介绍钱包安全风险的笔记文章，链接点这里。

今天延续这个话题，继续围绕交易所的安全问题展开。以下，Enjoy:

主讲嘉宾：成都链安交易所安全负责人：MAX

在2019年內，全球共发生超过28起交易所安全事件，其中超过7成为交易所加密资产被盜，其余包括交易所跑路、交易所信息泄露及其他资产丢失事件，共计产生超过13亿美元的损失。

交易所频频被黑客“光顾”，除了造成资金方面的损失，更重要的是对品牌的伤害。如果被盗金额过大、处置不当，平台甚至会因此倒闭。2017年12月，韩国交易所Youbit就因被黑客攻击，导致近17%的加密资产被盗，最终不得不申请破产。

问题一：安全事件频发，那么，2020年有没有发生过典型的交易所安全事件，能够给我们警示？

据成都链安区块链安全态势感知平台（ Eosin- Eagle Eye）统计数据显示，2020年第一季度，共发生超6起典型交易所安全事件：

1、 Fccoin'交易所入不敷出，兑付困难，交易所创始人称资金缺口在7000-13000BTC之间；

2、新加坡交易所 Coinhako在遭受攻击后限制用户取款， Coinhako发言人实施账户限制是防止“未经授权的交易”，3月1日将恢复运营能力；

3、去中心化加密衍生品交易所 Digitex对外表示，一名前雇员盗取8000多名用户的私人信息；

4、OKEx、 Bithinexa等交易所相继遭到DDOS攻击，纷纷出现宕机等情况，OKEx宣称遭到至少600G流量DDOS（分布式阻断服务，通过控制多台机器进行攻击实现阻断正常服务进行的目的的攻击形式）；

5、3月初，美国司法部宣布制裁涉嫌协助朝鲜黑客组织 Lazarus Group洗币的黑客田寅寅和李家东，并冻结了其所有资产；

6、黑客田寅寅和李家东曾在数家交易所使用****和簒改后的照片，以绕过KYC流程。据统计，两名中国公民被控从虚拟货币交易所黑客手中洗钱超过1亿美元。

通过对近期相关交易所安全事件的分析，成都链安技术团队认为当前黑客主要的攻击渠道还是以下三种：

1、黑客对交易所的AP进行的攻击尝试；

2、黑客通过鱼又、水坑等方式尝试攻击交易所内部员工和管理人员的机器；

3、黑客通过钓鱼网站等方式尝试攻击交易所的用户。

问题二：黑客盗币猖獗，成都链安对于交易所及用户有什么好的建议？

最关键的是做好对假充值的防护。

从最开始假充值问题频发的EOS，再到后来的以太坊及各种代币，以及OMN链上的USDT，都曾遭遇过假充值问题。

造成假充值的原因主要在于两点，代币的真实性验证和交易的成功与否验证。

我们建议：交易所和钱包等项目方在验证交易的时候应验证交易是否成功、代币是否正确，以避免假充值攻击。

(行走插入一条，对于在去中心化交易所和钱包内转账、交易的朋友，还需要特别注意代币名称相同的也许并不是同一种币，可能存在于不同的链上。所以一定要区分好你想要的币在哪条链上）

问题三：交易所面临的安全问题非常严峻，成都链安采取了哪些措施保护交易所资产安全？

我们可为交易所提供反洗钱合规、安全态势感知（威胁预警、报警和阻断）、安全顾问、渗透测试、漏洞挖掘、防御部署和威胁情报等全方位的安全服务，以帮助交易所构建起完善的安全保障体系。

问题四：2020年巨鲸2.6亿丢币事件影响巨大，普通用户如何保护自己的加密数字货币资产？

首当其冲的，肯定建议用户选择有保障的大交易所。尤其是那些非常注重安全的。有的交易所连自己基本的安全检测都不做，如何保障用户资金安全呢？

其次对于不选择将资金存储在大交易所的用户来说，私钥的保护和个人信息的保护就是重中之重。

最简单也易实行的安全手段是环境分割。比如建立专门用于*作资金转移或者交易的一套系统，包括手机，邮箱等，将生活和交易分隔开，用于*作交易所的手机环境应保证纯净，不安装任何不必要的应用，不用于通信，聊天，娱乐等与交易无关的活动，私钥和助记词的保管则建议使用原始但有效的纸张记录的方式，避免使用截图，截屏等形式通过网络传输。（上篇笔记中有过一样的介绍和提示）

问题五：对于普通用户而言，有哪些维度可以衡量交易所是否安全？

从安全的角度来看，交易所的安全等级主要体现在两个维度：技术的维度和人的维度。

对于交易所来说，从内网架构、内网防护、业务逻辑再到网站的一个简单验证是否能做到安全，都体现了交易所在安全建设上的等级。

而从掌握资金权限的核心人员到直接对接广大外界用户的普通客户的安全意识和对相关安全知识的熟悉程度则直接体现了交易所安全运营的能力。

问题六：如果交易所盗币事件发生在自己身上，有没有办法可以追回？

有的，我们有在做AML系统，大家可以关注一下，能够实时跟踪査询被盜资产，并且出具证据链条，然后再和警方配合。

而且我们现在已经逐步开放试用了，有兴趣的可以加一下我们官号微信得到试用链接。

大家有什么被盗币、被诈骗的情况也都可以及时联系我们，我们很愿意配合大家追回被盗资产。

Eosin-AML是一款数字资产调查取证和反洗钱合规系统。

系统在海量地址标签库、区块链大数据分析+人工智能先进技术的基础上，协助执法部门调查取证虚拟资产犯罪案件的证据链，快速定位产流向，自动对交易做风险评分，实时监控风险交昜和洗钱、欺诈等行为。

而且，我们也可以帮助交易所监测交易风险，对流入交易所的非法资金实时报警，履行反洗钱合规义务；帮助金融监管部门实时监督资金流入和流出情况，分析评判其合规行为。

这是我们的调查取证分析界面

这是风险交易分析界面

以上是今晚笔记的全部内容

行走简单谈两点：一是这几年行走一直有关注链安，从一开始区块链审计、安全只是一个辅助小业务，到现在很大一只团队专攻区块链安全，链安发展很快。

这次笔记中行走也注意到链安开始推出了针对个人的类似安全事件发生后追责挽损类的产品。从链安的角度分析，过去其实这个场景也一直有个人通过各种方式找到他们，想要提供相关技术和服务，帮忙，链安主营业务在服务B端，帮忙真的耗精力。很欣喜地看到今年链安C端的产品实现了平台化，这是个可以对个性化需求进行批量处理的尝试，会帮助链安提升C端效率。但从用户层面，如果把安全问题记在心上，从发生前就尽量杜绝，事后找安全公司解决的情况或许就能少些发生。

第二点想说的是，区块链的项目能真正落地，产生正向现金流的不多，交易所是个大类，安全服务商，包括提供安全审计服务的机构也是一块。但遗憾类似链安一样的企业不缺现金，大抵上不会给普通人投资的机会吧。从反向大家也可以思考，咋区块链N多领域我们韭菜都有大把投资的机会呢？

本身做笔记输出，不应该夹带个人观点，今天周末放假，顺手胡说几句，大家忽略就好。

预告：明晚是比特币减半之夜。多个区块链媒体和机构会有相关的活动，行走会挑选质量高的做输出。也欢迎各位币东给行走推荐好的直播活动。你想听什么，希望行走整理哪方面的笔记，都可以下方留言给我。

—-

编译者/作者：行走

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。