雷盾LOEx安全工作组评选出币圈十大安全问题

雷盾LOEx数字货币交易平台，一直以客户交易安全服务为核心理念。雷盾LOEx交易所安全工作组对过去几年币圈发生的安全事件进行了分析，按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。以提供业内安全标准及防护规避方法。

1. 高级长期威胁（英语：Advanced Persistent Threat，缩写：APT）

数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集,长时间内保持高隐蔽性。在此收集的过程中，此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞，并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会，再利用0 day 漏洞或者交易所流程方面的漏洞进行攻击。

2. 分布式拒绝服务

分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击（DoS）的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。

3.监守自盗

交易所内部人员利用公司内部安全流程的漏洞，监守自盗；或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。

4. API 安全风险问题

交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好，黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下：

（1）没有身份验证的API

（2）代码注入

（3）未加密的数据

（4）URI中的数据

（5）API Token 和 API Secret 没有保护好

5. 假充值问题

假充值是指链上逻辑错误或交易所链上链下对接的时候，对交易的检验不够严谨导致的错误入账的问题。

6.交易所热钱包存储过多资金，成为黑客目标

交易所热钱包存储过多资金，成为黑客目标，这个风险与交易所热钱包有关的IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击：

（1）恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击，借此收集用户的登陆凭据。

（2）数据库被攻击导致私钥泄露。

（3）IT系统漏洞。

7 .51%攻击

51%攻击，又被称为Majority attack。这种攻击是通过控制网络算力实现双花。如果攻击者控制了网络中50%以上的算力，那么在他控制算力的这段时间，他可以将区块逆转，进行反向交易，实现双花。对同一笔交易进行双重花费甚至回滚以往的历史交易。

8 .不安全的文件处理

这种风险与文件的不安全处理有关系。包括下载外部电子邮件的链接或者附件，也就是传统意义上的钓鱼攻击；也包括对于交易所用户上载的KYC（实名验证）文件没有经过安全处理。恶意代码隐藏图像中，这种方式也称呼为隐写术（Steganography)，攻击者将恶意代码与指令隐藏在看似无害的图像之中伺机执行，这种风险与APT风险有一定的关系。一般来说，单单一封邮件无法对你实施攻击，一定要以邮件为基础，在此之上产生别的交互才可以，比如说点击链接后输入内容，运行/打开文件，当需要以上动作时，便存在风险。

9 .DNS域名劫持

DNS 服务是互联网的基础服务，在DNS查询中，需要有多个服务器之间交互，所有的交互的过程依赖于服务器得到正确的信息，在这个过程中可能导致访问需求被劫持。

劫持访问需求有多种方式：

利用路由协议漏洞，在网络上进行DNS域名劫持。

劫持者控制域名的一台或多台权威服务器，并返回错误信息。

递归服务器缓存投毒，将大量有毒数据注入递归服务器，导致域名对应信息被篡改。

入侵域名注册系统，篡改域名数据，误导用户的访问。

10 第三方安全

使用第三方服务的时候：

因为交易所使用第三方服务自行配置错误导致被黑；

因为第三方服务自身漏洞导致交易所被黑；

因为第三方服务被利用来钓鱼投毒投马导致交易所被黑；

因为第三方服务被黑导致交易所被黑。

LOEx雷盾交易所创立于2018年11月，致力于安全、合规、稳定多国家一站式本地化交易服务，百万用户覆盖全球120个国家，2020年4月获得塞舌尔、新加坡、美国、加拿大、澳洲MSB牌照，未来将在更多的国家获得合规牌照。

LOEx雷盾一直谨守贴近用户交易体验的企业理念与团队努力不懈地为用户们提供最专业的合规合法化数字金融投资服务。

LOEX雷盾诉语 “品质问题本身也是服务安全问题,没有周到的安全服务支撑,没有体系化的安全章程,没有专业的安全标准，品质保障也就无从谈起。”LOEx以其在履行“为用户提供安全且合规的全球数字资产服务”的企业精神把平台做到特色化、风格化以及专业化。

—-

编译者/作者：闪电传媒

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。