區塊鏈具有令人印象深刻的99%的可靠性。但是,加密貨幣交換也是如此嗎?在這種背景下,思博倫通信公司安全諮詢高級總監Sameer Dixit發現了一些加密交易所的特徵缺陷,解決這個問題,以保護超過3500億美元的加密貨幣行業免受其搶劫的影響。
全球各地的許多愛好者都認為密碼銀行作為一種熾熱的貨幣發展,已經不斷被網絡暴力的殘酷活動所刺破。這些不良行為者繼續留在加密貨幣交易的道路上,以解密投資者的安全細節並推走他們寶貴的數字資產。
以下是一些安全漏洞,使黑客很容易進入加密交易所。
證書違規
根據Dixit的說法,大多數加密交換黑客攻擊的主要原因是“受損的憑據。”加密交換管理員通常是黑客的主要目標,因為他們已經授權訪問平臺上所有用戶的私鑰。 2017年,有報道稱,黑客已經獲得了Bithumb交換員工的PC訪問權限,其中包含黑客用來竊取用戶加密的數千名交換用戶的個人信息。
同樣,在2017年12月,BTCManager報告黑客從NiceHash加密挖掘平臺竊取了價值約6400萬美元的比特幣,這也歸功於憑證的洩露。
代碼漏洞
2016年,網絡盜賊能夠利用代碼中的漏洞利用分散的自治組織(DAO),竊取大量加密貨幣。 DAO被設計為一個分散的投資基金,它將資金如何應用於捐助者。 這個想法是通過代碼管理交易解決了人類欺騙的問題,共享權力可以防止竊取。 不幸的是,儘管該系統在某種程度上足以抵禦入侵,但犯罪分子最終發現了代碼中的一個錯誤,幫助他們攻擊平臺。
測試帳戶
測試帳戶是加密貨幣獵人訪問網絡的另一種途徑,因為這些帳戶通常既沒有得到有效管理也沒有受到良好監控。開發人員使用具有不同權限和訪問權限的帳戶來測試代碼並驗證所有內容是否按預期方式運行。
在正常情況下,測試帳戶應僅存在於測試或登臺環境中,並且不應在生產環境中使用。如果測試帳戶是絕對必要的,那麼帳戶應該只具有基本性能和功能測試所需的最低權限級別和訪問權限。 Dixit建議定期審核生產環境應識別並刪除任何惡意測試帳戶。
缺乏角色分離
Dixit還討論了限制誰可以訪問哪些信息以及為何時提供訪問設置明確規則的需求。他解釋說,“另一個最佳做法是確保職責分離並實施賬戶'最低特權訪問'的做法。”他建議嚴格規範開發人員對生產系統的訪問,僅包括緊急情況。
交易可變性
歷史上一些最大規模的加密貨幣交換黑客是交易延展性的結果。雖然存儲在區塊鏈上的數據是不可變的,但大多數交換仍然使用集中式數據庫,這使得它們容易受到交易延展性攻擊。 2014年,黑客利用這一漏洞從Mt.Gox加密交易所轉移了5億美元的比特幣。
熱錢包的不足之處
將密碼存儲在冷庫中仍然是保證數字資產安全的最可靠方法。 交易所發現使用這種方法是一項艱鉅的任務,因為客戶每週7天,每天24小時發送提款請求。 使用多簽名私鑰來保護熱錢包是至關重要的,這樣黑客就不可能只用一個私鑰來破壞系統,就像2018年1月的Coincheck交換黑客那樣。
隨著加密貨幣爭奪主流金融領域的地位,搶劫和黑客繼續將其歸還。 鑑於對加密貨幣的安全存儲和交易的高需求,預計在不久的將來會有所改善似乎是合理的。 與此同時,交易所和用戶都需要採用先進的安全措施來降低風險,直到找到解決方案。
閱讀更多 鏈向財經 的文章
