摘要:谁能保护你的数字资产?
最近接二连三的数字货币交易平台被盗事件,迫使所有媒体头条都被霸占,其中数字货币排名前十的交易平台比安被黑客盗走7000BTC(当时市价4000万美元)。这一重大安全事故瞬间吸引了科技媒体的关注,也让沉寂已久的数字货币交易平台安全问题再次回归大众视野。哪些漏洞导致了这些交易平台被盗呢?又有谁能保证用户的资产安全呢?
一、交易平台被盗事故复盘
2019年至今,数字货币交易平台官方公布被盗公司8家,仅有3家公司向用户进行了官方赔偿,1家公司为平台自有资产。其中,安全问题突出的Cryptopia在一个月内被盗两次,目前正在维护中。
平台被盗原因有交易平台官方钱包入侵、hard_fail、验证码劫持、私钥窃取、多种攻击方式混合。归根结底,交易平台被盗的原因主要分为两类。一类是平台自身的技术风控防御系统缺陷,黑客利用安全漏洞入侵平台偷盗数字货币;另一类是平台内部制度缺位问题,造成用户个人信息被窃取,特别恶劣情况下,甚至出现泄露买卖个人信息现象。
二、平台风控防御系统缺陷
数字货币交易平台技术风险控制体系的缺陷主要是没有进行安全攻防测试,没有部署安全防御体系。在没有进行安全测试的数字货币交易平台比如像Mercatox,黑客就利用hard_fail转账交易获得平台服务器“信任”,不难看出平台方的技术审核测试能力不足,才会导致发生此类低级安全,事故,如果平台在合同上线前寻求第三方的安全检查,成千上万的EOS就不会被盗。当然,安全检测存在缺陷的交易平台只是少数,但这个环节更需要重视。
大部分交易平台主要是在风控和防御系统的部署上存在短板,比如比基、边。幸运的是,。,比基当时没有批准这些提款,否则损失会进一步扩大。
与互联网金融企业相比,数字货币交易平台的风险控制和防御体系不足。以碧安为例。虽然彼岸用SAFU基金承担了此次事故的全部损失,避免了用户的损失,但这种赔偿并不完善,无法应对更大范围的安全事故赔偿。这次事故的主要原因是风险控制防御体系的不足。此外,叠加病毒等攻击手段的BiKi事后官方公告中就指出,黑客通过劫持用户第三方服务商验证码短信,从而攻击部分没有绑定谷歌验证码的用户。这里就暴露其自身风控系统存在问题,一是忽视单一验证用户被劫持情况,二是没有对修改登录和交易密码的账户进行一定时间段的提现和交易限制,三是没有树立用户安全防范意识。's复合攻击防御技术存在不足。
首先币安应对大规模系统性攻击防御能力不足,黑客如何获取大量用户API密钥谷歌验证码的呢?大量用户密钥被获取非一日之功,如果黑客是网站钓鱼获取用户账号、密码等资料,币安为何早前没有发现仿冒币安的网站URL地址以及页面内容,还是说没有发现黑客利用币安官方网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码呢?
其次币安的风控存在重大问题。被盗的7000 BTC虽然只占币安官方公布总持有量BTC的2% ,但这并不能掩盖币安平台在提现审批转账上的风控问题。
此前在《IPO前后大转变,交易所为何寻求“合规”》文章中指出,数字货币交易平台具有多重身份。Bithumb平台被盗,反映了多重身份下内部系统功能的缺失。Bithumb平台官方表示,此次提现异常事件并非由于外部攻击,初步认定是内部员工盗用并保管了数字货币的“私钥”。这种情况反映了三、内部制度缺位问题,的Bithumb平台内部职能岗位集中过多权力,内部没有进行必要的职能分解,建立必要的监管系统会导致内部员工使用完整的“私钥”转移数字货币的资产,从而产生监守自盗的行为。
制衡
这并不是数字货币交易平台权力过于集中的孤例,加拿大数字货币交易平台QuadrigaCX就因创始人杰拉尔德科顿去世,欠下客户1.9亿美元,大部分资金已无法访问,最终破产,这都是数字货币交易平台职能岗位权力过于集中给平台和用户带来的伤害。
四、个人应如何防范账户密码被窃取
除了数字货币交易平台需要提升风控防御系统和改善内部制度以外,个人投资者又应该如何防范账户密码被窃取,甚至导致数字资产损失呢?就这一问题,RatingToken安全技术人员指出个人投资者需要密切注意以下6点:
1.在登录银行、交易所、钱包等网站时,一律使用带https开头的安全链接;
2.手机、电脑、硬件钱包等联网设备不随意使用第三方不明Wifi;
3.前提许可的情况下,必须安装防护杀毒软件,拒绝“裸奔”;
4. 网页、APP出现异常情况时,及时确认和终止重大操作;
5. 不打开来路不明的插件、邮件、链接;
6. 大额数字货币资产尽量转到知名可靠的冷钱包。
(作者:区块链酋长,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
