API:數字貨幣交易所安全事件頻發 10大安全風險你了解多少？

數字貨幣交易所TOP10安全風險，你了解多少個？

TOP10

CSA GCR 區塊鏈安全工作組交易所安全小組對于過去幾年交易所發生的安全事件進行了分析，按照安全事件的發生頻率和資金損失程度總結了主要的十個安全風險。

1  高級長期威脅

（APT：Advanced Persistent Threat）

風險描述

高級長期威脅（英語：Advanced Persistent Threat，縮寫：APT），又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業或動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，并從其獲取數據。威脅則指人為參與策劃的攻擊。數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象身份管理系統和應用程序的漏洞，并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會，再利用0 day 漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore（也被稱呼為：Crypto-gang”，“Dangerous Password”, “Leery Turtle”大概成功盜取2億美金）和 Lazarus（大概盜取5億美金）。

蘭州打掉誘導受害人購買數字貨幣的電信網絡詐騙犯罪團伙:蘭州市局安寧分局近日成功打掉了一個利用虛假理財平臺實施電信網絡詐騙犯罪的犯罪團伙，共抓獲犯罪嫌疑人41人，凍結涉案贓款27萬余元、查扣寶馬汽車2輛以及用于作案的手機、電腦等工具100余臺（部）。受害人毛某報案稱，其被一自稱證券公司業務員的網友“小幸運”誘導，按照管理員發送的指定網址下載“數字資產”APP投資平臺，注冊賬號。在一自稱“陳經理”的詐騙人員“指導”下，購買數字貨幣產品“Libra”后被騙41.6萬余元。?經審訊，該團伙犯罪嫌疑人對所犯罪行供認不諱。目前，涉案的38名嫌疑人已被刑事拘留，3人被取保候審。（蘭州晚報）[2020/8/4]

2  分布式拒絕服務

（DDOS）

分布式拒絕服務攻擊DDoS是一種基于拒絕服務攻擊（DoS）的特殊形式。是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網絡協議和操作系統的一些缺陷，采用欺騙和偽裝的策略來進行網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較，分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。數字貨幣交易所經常受到DDOS攻擊。

王忠民：建議政府的補貼用央行數字貨幣錢包進行支付:5月16日，2020清華五道口全球金融論壇特別策劃正式開幕，全國社會保障基金理事會原副理事長王忠民表示，今天央行的數字貨幣已經開始測試在交通領域補貼。我的建議是，今天政府的補貼可以用數字錢包把央行的支付環節的東西變成數字錢包，而數字錢包里邊的補貼是政府給的，政府在不同層面給到這個數字錢包的東西可以滿足三點：一個是日常消費的現金流不中斷，二是養老賬戶現金流不中斷；三是房貸支付的現金流不中斷。保證這幾個居民資產，既是管理的三個維度，是社會政策的三個維度，也是我們家庭資產負債表維持平衡、維持動態發展的有效的進步的空間。[2020/5/17]

3  內鬼監守自盜

（Insider Attack）

交易所內部人員利用公司內部安全流程的漏洞，監守自盜；或者在離開交易所以后利用流程和安全控制方面的漏洞發起攻擊。

4  API 安全風險問題

交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好，黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下：

聲音 | 夢網集團：將提前布局研究深圳數字貨幣與移動支付等創新應用:夢網集團（002123）透露，公司一直在加強區塊鏈技術的戰略部署。公司可信云基于區塊鏈已經實現了通信反詐騙，以及全球運營商的短信計費平臺。此外，近期中共中央、國務院出臺的《關于支持深圳建設中國特色社會主義先行示范區的意見》中提到，支持在深圳開展數字貨幣研究與移動支付等創新應用。公司將密切關注政策導向，提前布局研究。（全景網）[2019/9/17]

（1）沒有身份驗證的API

API必須有身份驗證和授權機制。符合行業標準的身份驗證和授權機制（例如OAuth / OpenID Connect）以及傳輸層安全性（TLS）至關重要。

（2）代碼注入

這種威脅有多種形式，但最典型的是SQL，RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力，部署API后應進行持續的監控，以確認沒有對生產環境造成任何漏洞。

（3）未加密的數據

僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據，有必要增加其他在應用層面的安全，比如Data Masking， Data Tokenization, XML Encryption 等等。

動態 | 土耳其伊斯坦布爾的居民因未能備份錢包而失去數字貨幣:據cryptoglobe報道，土耳其伊斯坦布爾的居民Kerem Albayrak聲稱，他為他的新辦公室購買了一臺iMac，并且他創建了一個新的區塊鏈錢包，但后來他將該iMac退貨，他創建錢包后使用Apple自動生成密碼，卻沒有用iCloud來備份鑰匙串，在iMac上的恢復口令的截圖也已經消失了。因此，他無法獲得錢包中17萬美元的數字貨幣。[2018/12/10]

（4）URI中的數據

如果API密鑰作為URI的一部分進行傳輸，則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統日志中時，攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭（Message Authorization Header）發送，因為這樣做可以避免網關進行日志記錄。

（5）API Token 和 API Secret 沒有保護好

如果黑客能夠獲得客戶甚至超級用戶的API Token 和 API Secret ，資金的安全就成為問題。

12小時數字貨幣行情梳理:根據Bitfinex交易平臺數據顯示，

BTC最新成交價格117,886.39元，最高價達119,623.51元，最低價格112,615.59元，成交量4.45萬，漲幅1.31%；

ETH最新成交價格4,564.33元，最高價達4,702.51元，最低價格4,164.80元，成交量26.99萬，漲幅0.42%；

BCH最新成交價格11,720.61元，最高價達12,338.18元，最低價格10,828.27元，成交量5.71萬，漲幅2.35%；

ETC最新成交價格237.77元，最高價達249.54元，最低價格186.77元，成交量174.93萬，漲幅17.96%；

LTC最新成交價格1,949.80元，最高價達2,099.74元，最低價格1,690.95元，成交量67.89萬，跌幅3.21%。[2017/12/17]

沒有對于API的使用進行有效的檢測，黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊，就會有損失。

5  假充值問題

（False Top-up）

假充值是指鏈上邏輯錯誤或交易所鏈上鏈下對接的時候，對交易的檢驗不夠嚴謹導致的錯誤入賬的問題

6  交易所熱錢包存儲過多資金，成為黑客目標

交易所熱錢包存儲過多資金，成為黑客目標，這個風險與交易所熱錢包有關的IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊：

惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊，借此收集用戶的登陸憑據。

數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰，黑客對數據庫進行攻擊，獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。

IT系統漏洞。交易所自身系統存在漏洞，黑客通過其自由漏洞獲取IT系統控制權后，直接通過IT系統進行轉賬。

員工監守自盜 。前雇員在離職后通過在職時留下的后門進行資產轉移。

7  51%攻擊

（也可以稱為硬分叉攻擊，或者雙花攻擊）

51%攻擊，又被稱為Majority attack。這種攻擊是通過控制網絡算力實現雙花。如果攻擊者控制了網絡中50%以上的算力，那么在他控制算力的這段時間，他可以將區塊逆轉，進行反向交易，實現雙花。對同一筆交易進行雙重花費甚至回滾以往的歷史交易。

8  不安全的文件處理

這種風險與文件的不安全處理有關系。包括下載外部電子郵件的鏈接或者附件，也就是傳統意義上的釣魚攻擊；也包括對于交易所用戶上載的KYC（實名驗證）文件沒有經過安全處理。惡意代碼隱藏圖像中，這種方式也稱呼為隱寫術（Steganography)，攻擊者將惡意代碼與指令隱藏在看似無害的圖像之中伺機執行，這種風險與APT風險有一定的關系。一般來說，單單一封郵件無法對你實施攻擊，一定要以郵件為基礎，在此之上產生別的交互才可以，比如說點擊鏈接后輸入內容，運行/打開文件，當需要以上動作時，便存在風險。

9  DNS域名劫持 

（DNS domain name hijacking）

DNS 服務是互聯網的基礎服務，在DNS查詢中，需要有多個服務器之間交互，所有的交互的過程依賴于服務器得到正確的信息，在這個過程中可能導致訪問需求被劫持。

劫持訪問需求有多種方式：

利用路由協議漏洞，在網絡上進行DNS域名劫持。如BGP協議漏洞（BGP協議對于兩個已經成功建立BGP連接的AS來說，基本會無條件的相信對方AS所傳來的信息，包括對方聲稱所擁有的IP地址范圍），將受害者的流量截獲，并返回錯誤的DNS地址和證書。

劫持者控制域名的一臺或多臺權威服務器，并返回錯誤信息。

遞歸服務器緩存投，將大量有數據注入遞歸服務器，導致域名對應信息被篡改。

入侵域名注冊系統，篡改域名數據，誤導用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸，如果用戶無視瀏覽器的證書無效風險警告，繼續開始交易，就會導致錢包里的資金被盜。

10  第三方安全

使用第三方服務的時候：

因為交易所使用第三方服務自行配置錯誤導致被黑；

因為第三方服務自身漏洞導致交易所被黑；

因為第三方服務被利用來釣魚投投馬導致交易所被黑；

因為第三方服務被黑導致交易所被黑。

[原創作者]鄧永凱、黃連金、譚曉生、葉振強、余曉光、余弦（按拼音字母排序）

[審核專家]陳大宏、趙勇

Tags：API數字貨幣BSPNBSAPI幣加密貨幣和數字貨幣的區別和聯系BSPTnbs幣前景

酷幣下載