加密交易所容易受到黑客和攻击的3个原因

加密货币交易所处理大量资金。所有这些的问题在于,它对所有错误的人都具有吸引力。邪恶的人。想自己拿钱的人.

加密交易所正面临最严峻的挑战,人们对黑客攻击和窃取加密货币怀有浓厚兴趣。不幸的是,加密货币交易所具有可以被利用的漏洞。这是为什么加密交易所仍然容易受到骗局,欺诈,黑客和攻击的几个原因.

原因1:巨大的加密货币持有量

最明显的主要原因是上述数量。以此为目的只是有点措手不及,因为它涵盖了所有其他原因。小偷想要令牌,他们现在想要它们.

但是,请花点时间考虑一下攻击者试图达到的目标的规模。.

每个交易所都有一个热钱包。热钱包(或在线钱包)处理交易所上的交易,而无需在离线冷钱包之间来回移动货币。但是,热钱包是遭受攻击的主要吸引力之一。任何时候,交易所都可以坐在热钱包中拥有数亿美元的加密货币。早在2017年12月,Bittrex就结束了 40亿美元 坐在一个钱包里。让它沉入片刻.

Bittrex并不孤单。所有交易所都有热钱包。 2017年12月是一个特别密集的交易时期。但是,用一个私钥保护的价值40亿美元的代币呢?风险极高.

也有一些突出的例子:

  • Bithumb. 2018年6月,韩国交易所损失了350亿韩元(约3150万美元)的代币.
  • Coinrail. 同样在2018年6月,韩国另一家交易所Coinrail损失了约400亿韩元(约3500万美元)的代币。.
  • 硬币检查. 2018年1月,日本交易所Coincheck损失了5.23亿枚NEM硬币,当时价值约5.34亿美元.
  • 扎伊夫. 另一个日本交易所Zaif在2018年9月损失了约6000万美元的比特币,比特币现金和MonaCoin.
  • 比特戳. 卢森堡的Bitstamp在2015年1月损失了18866 BTC,当时价值约510万美元.

这些只是热钱包黑客的五个例子。还有无数其他加密交易黑客实例.

原因2:人为错误

加密货币交易所不是自主的。在幕后,就像每个主要的网站一样,有一个专门的团队致力于使事情顺利进行。在大多数情况下,效果很好。但是,人类是容易犯错误的。可悲的是,在加密世界中,错误受到了严厉的惩罚。此外,攻击者很容易发送垃圾邮件或网络钓鱼电子邮件,以期受到打击.

从上一节获取Bitstamp hack。 Bitstamp最初对黑客行为保持沉默,但 泄露的文件 揭示事件。黑客在数周的时间内向Bitstamp的六名员工发送了一系列鱼叉式网络钓鱼电子邮件。攻击者完成了对员工的背景调查,通过Skype招揽了他们,最终设法说服Bitstamp系统管理员下载了Word文档。.

Word文档包含一个模糊的Visual Basic for Applications(VBA)脚本,该脚本下载了恶意文件并破坏了sys-admins计算机。一旦受到威胁,攻击者就可以访问主要的Bitstamp热钱包服务器,包括密码短语.

“在1月4日,攻击者耗尽了Bitstamp钱包,正如在区块链上所证明的那样。尽管此钱包的最大内容一次最多为5000个比特币,但随着客户进一步存入资金,攻击者全天可以窃取18000个比特币。

过去八年中,大约31家加密货币交易所遭到黑客攻击,损失超过13亿美元,这一点不足为奇.

原因3:基础架构存在缺陷

人为错误也可能导致其他漏洞。如果攻击者没有针对员工,则可以打赌他们针对的是网站基础架构中的漏洞.

ICO评级交易所安全报告 确定了加密货币交易易受攻击的四个领域:

  • 控制台错误
  • 用户帐号安全
  • 注册商和域安全
  • Web协议安全

ico评级加密货币交易所安全审查

控制台错误

基础交换代码中的错误不是自动严重的,但它确实取决于错误的严重性。例如,大规模的DAO黑客几乎完全归因于代码漏洞。黑客窃取了价值超过5000万美元的以太坊.

ICO评级报告估计,所调查的交易所中有68%完全没有错误。那么,其他32%呢?好吧,这取决于代码漏洞的类型。此外,是否有任何恶意方都知道该漏洞,利用该漏洞是否有利可图.

用户帐号安全

您可能会想“单个最终用户帐户安全性不是一个大问题。”在某种程度上,您是对的。最终用户帐户安全性对于交换安全性很重要,但并不重要.

Exchange员工帐户是另一回事。加密货币交换员工的用户帐户安全性必须强大且一致。我想以为所有加密货币交易所都指导员工关于帐户安全性(强大的一次性密码,八个以上的字符,字符和符号的组合,等等)。.

注册商和域安全

该研究检查了与站点注册商和域有关的交换漏洞。它确定了五个不同的潜在漏洞:

  • 注册表锁. 注册表锁是注册表中的特殊标志,可阻止任何人对您的域进行更改.
  • 登记员锁. 与“注册表锁定”不同,注册器锁定在允许对注册表进行更改之前,通过扩展安全性和身份验证来防止域劫持.
  • 角色帐户. 角色帐户可防止泄漏通过注册表找到的私人信息。从理论上讲,这使得很难找到与域注册表关联的个人,从而使攻击者更难以定位.
  • 期满. 域名过期非常普遍(记得Google何时意外让其域名过期,有人殴打它吗?).
  • 域名系统. DNSSEC(域名系统安全扩展)是用于防御DNS攻击的一套工具。 DNSSEC使用加密签名对所有DNS查询进行身份验证,拒绝未经授权的DNS条目和响应.

Web协议安全

最终的攻击媒介是Web协议安全性。攻击者善于利用基于Web的漏洞。确实,一些最大的攻击源于最常见的漏洞。该报告使用以下方法测试了交换协议的安全性 https://www.htbridge.com/websec/, 评估是否存在以下五个安全标头:

  • 严格的运输安全. HTTP严格传输安全(HSTS)标头强制浏览器会话使用HTTPS.
  • X-XSS保护. X-XSS-Protection标头定义了站点如何防范跨站点脚本及其附带的漏洞.
  • 内容安全政策. Content-Security-Policy(CSP)标头允许定义特定类型的内容的允许来源,从而有助于防御XSS和其他代码注入攻击。此外,CSP定义了一些浏览器安全行为,例如在会话中使用沙盒环境.
  • X框架选项. X-Frame-Options标头定义了网站是否允许对其自身进行框架化。阻止帧阻止了诸如点击劫持和恶意广告之类的攻击.
  • X内容类型选项. X-Content-Type-Options标头还通过禁用内容嗅探,同时确保由标头定义和控制内容,还可以防止XSS和代码注入攻击.

ICO评级报告表明,经过检查的加密交易所中有29%没有上述安全标头.

加密货币交易所的安全挑战

显然,加密货币交易所有很多缺陷。此外,您还会看到交流所面临的问题的严重性。不断增长的用户基础增加了交易所的持有量,从而使交易所成为更具吸引力的目标。还必须考虑那些经历快速增长并相应扩大安全实践的站点.

加密交易并不特殊。它们不是具有专门协议的唯一网站。加密交易所使用与互联网其余部分相同的安全协议。与互联网的其他部分一样,交换的强度仅与安全实现的强度相同。如果网站设计者不适应新事物,那么交易所及其用户一定会度过一段美好的时光.

最佳实践是从可能易受攻击的交易所中删除您的加密货币,并将其存储在安全的脱机冷钱包中.