LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > CEX和DEX:交易所的技术安全风险及赔偿机制

CEX和DEX:交易所的技术安全风险及赔偿机制

2021-08-28 ALPEX_IO 来源:区块链网络

2021年8月10日, Poly Network的遭遇黑客,损失6.1亿美元;8月24日, Coinbase被报道遭遇黑客盗用加密货币钱包; 8月26日, ALPEX平台官方消息, 遭遇网络宕机, 事后,该交易所对遭遇损失的用户给予了全额赔款。

作为中心化交易所CEX和去中心化交易所DEX, 所存在的安全风险来自于监管和技术两方面。最重要的是, 作为合规的交易所,是如何应对及给用户提供完善的赔偿机制。

CEX 中心化交易所的DDoS安全风险

中心化加密货币交易所(CEX)的运营方式与传统货币交易所类似。 用户的数字资产委托给交易所管理。基于其中心化的性质,该类交易所受法规和机构监管, 并要求了解用户资讯(KYC)。

DDoS攻击,是一种分布的、协同的大规模攻击网络的方式,也叫分布式拒绝服务。 黑客入侵计算机网络,大量的信息和流量涌入网络服务器,令其超负荷, 导致网络中断, 在线服务系统当机, 投资者没法进入看市场行情和交易。2021年5月18日 Bitfinex报道称平台流量超载,用户无法访问平台, 所以怀疑遭到DDos攻击。 消息公布后比特币跌幅一度高达 2.2%。

网络钓鱼

近来不法分子网络钓鱼等诈骗频频出现。利用微信群、官方电报群(Telegram)、或推特(Twitter)账号发布钓鱼信息外等等。 8月12日, ALPEX在推特发文(见下图),指出不法分子冒用ALPEX名义开展诈骗行为,提醒用户警惕。 其中包括冒用ALPEX客服、大客户经理、商务、合作伙伴名义致电用户、添加微信,招揽用户进入假冒微信社群,进行带单直播或要求用户向某地址转入数字资产。更有不法分子冒充ALPEX工作人员以资产风控等借口,要求用户配合安全排查、解除账户风险/冻结。利用用户恐慌心理,骗取账号信息,或者诱导用户完成提币或转款。

新型SIM卡交换诈骗

据8月24日CNBC报道, Coinbase 发生用户受到SIM卡交换诈骗。?网络犯罪份子使用手机卡(SIM卡)来操控接管账户,通过电讯移动运营商操控一些用户的电话号码和SIM卡,拦截通过交易所短信发送给这些用户的验证码,接管他们的其他在线账户。根据推特显示,Coinbase曾多次发文提醒用户警惕。(下图)

ALPEX的网络宕机和完善的赔偿机制

8月26日下午13:40-14:36期间, ALPEX网站和APP遭受网络宕机, 造成页面无法打开以及无法进行交易。 该技术团队紧急排查排除了黑客入侵的因素,及时修复了故障,恢复了充提币和交易等功能。 该团队快速发布公告,对运行中出现的问题深表歉意,承诺ALPEX平台绝不存在所谓的插针、拔网线等恶意行为。同时, 团队会加强后续运营,尽可能规避网络宕机等问题,以为大家提供更好的交易体验。

对于由此受到损失的用户,该交易平台推出了完善的赔偿方案,并支付了所有的赔偿。 包括:按照最优于用户的价格计算;用户在App内联系官方客服进行举证后,由用户确认金额后开始赔付流程。 此举得到用户赞同,如同打了强心针,更加增强了信心。

ALPEX平台是如何实施安全系统保障的?

作为一个已经拥有国际三大金融牌照的交易平台,ALPEX除了遵循合规持牌,还注重系统和应用的安全研发、运行和监管。 主要体现在以下方面:

1, ALPEX平台采用完善的风控系统, 充分保障用户的资金安全;数据传输采用SSL加密,保障数据传输安全;并且采用的是交易与储存隔离机制,可以最大限度保障终端用户的操作体验和财产安全;

2,ALPEX平台采用的是多层架构部署。多层架构的设计大幅提高了系统的性能、安全性、稳定性和扩展性。功能部署、版本更新无需停机进行,最大限度保障终端用户的操作体验。

3, 该平台采用的多重安全防护技术, 依托去中心化链上资产托管存储,杜绝跑路;数字资产多链管理;增发冷热钱包存储完备的安全防护线,运行以来,出现0盗币事件。

4,该平台在稳固安全架构之外,还致力给用户提供极致体验。凭着面向SOA的超高扩展性, 打造极致流畅用户体验;

DEX去中心化交易所的智能合约安全风险

在去中心化交易所(DEX),用户对数字资产拥有更高的控制度。去中心化的交易以“智能合约”的形式实施,所有交易记录和数据都可在链上查询。 其公开透明、不可攥改和无法伪造的本质,加强了它的安全性。另外,用户直接保管“私钥”,即是对加密资产享有直接所有权。

8月10日Poly? Network 受黑客攻击事件暴露了智能合约漏洞。 根据coinbase的风险列表,其将十大智能合约风险(SCR)归纳为三类。

1. 操作风险: 当令牌网络治理不充分或有缺陷时,授权功能会被利用。比如,智能合约实现功能,允许进行超级用户帐号或权限管理、将特定地址加入黑名单或烧录功能、任意更改合约逻辑或资产配置等。

2. 实施风险: 包括允许特权角色的持有者单方面和任意地改变资产,也包括未经授权的转移,不正确的签名实现等。

3. 设计风险:被接受的系统功能被用来改变预期的智能合约行为。

简言之, 智能合约允许任何人透明地运行合约代码。所以,对此制定的安全措施之一是, 在部署智能合约之前,认真审查、识别及测试其可能潜在的安全漏洞,令其不容易受黑客攻击。

安全防范措施

监管方和交易所都可共同推动加密货币行业安全监管的进程建设。交易所方面, 定期的安全审计、系统更新和检测修补都是必要的,以杜绝任何给黑客利用漏洞的机会。 另外,需要建立完善的安全应急预案, 及时响应处置各类黑客攻击事件的发生;工作人员快速排查和修复,将损失减少到最低程度, 并且及时公布,都会有助于解决事件。

用户方面,谨慎分辨, 从官网上获取正确的平台公告和消息,而非经过第三方的网站和链接。及时留意自己账号是否有异常,及时采取更换密码等一系列措施。 另外,自从SIM卡事件发生之后, 更多人推崇使用加密币硬钱包。资产安全,重中之重。

参考资料

https://www.forbes.com/sites/seansteinsmith/2021/02/24/blockchain-based-decentralized-exchanges-are-growing-but-there-still-are-significant-risks/?sh=208236be1757

https://www.techradar.com/news/coinbase-customers-up-in-arms-after-hackers-drain-crypto-wallets

https://www.cnbc.com/2021/08/24/coinbase-slammed-for-terrible-customer-service-after-hackers-drain-user-accounts.html

https://blog.coinbase.com/top-ten-smart-contract-security-risks-47ecbe8af15d

查看更多

—-

编译者/作者:ALPEX_IO

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...