日本不卡一区二区视频在线,揉吸允大奶子视频狂干你嗯啊视频 ,99 在线视频播放

數(shù)字貨幣交易平臺(tái)面臨著哪些安全威脅？

2018-09-17 13:58:13 來(lái)源：FreeBuf搶沙發(fā)

2018-09-17 13:58:13 來(lái)源：FreeBuf

摘要：從邏輯上說(shuō)，任何主觀行為都是有目的的，黑客攻擊行為的目的，不乏有為了炫耀技術(shù)或者表達(dá)政治訴求之類的情況，但是占比最大的還是為了獲得經(jīng)濟(jì)回報(bào)。
關(guān)鍵詞：數(shù)字貨幣

　　一、部分與數(shù)字貨幣交易平臺(tái)相關(guān)的安全事件

　　近期，數(shù)字貨幣交易所安全事件頻發(fā)。2018年01月日本Coincheck交易所受到黑客攻擊被盜取NEM新經(jīng)幣損失約5.34億美元;2018年02月基于以太坊的XMRG代幣的交易價(jià)格上漲787%后迅速暴跌歸零，造成大量用戶經(jīng)濟(jì)損失，背后原因在于其智能合約代碼存在整數(shù)溢出漏洞，超額鑄幣后拋售造成惡性通脹;2018年03月Binance交易所，黑客利用盜取的用戶信息進(jìn)行大量交易操縱市場(chǎng)行情獲利超過(guò)1億美元。2018年04月基于以太坊的BEC代幣和SMT代幣先后因智能合約存在溢出漏洞造成天量代幣轉(zhuǎn)出，引發(fā)恐慌拋售，導(dǎo)致市值幾近歸零……這樣的案例數(shù)不勝數(shù)。

　　筆者通過(guò)這些觀察，發(fā)現(xiàn)兩個(gè)現(xiàn)象：一是事件發(fā)生的頻率很頻繁，要知道這只是列舉近期部分影響比較大的事件，如果把時(shí)間范圍擴(kuò)大，或者算上可能存在的影響較小的以及被掩蓋的事件的話，數(shù)量會(huì)比這個(gè)更多;二是平臺(tái)或用戶的損失數(shù)額巨大，動(dòng)輒數(shù)千萬(wàn)甚至數(shù)億美元。

　　實(shí)際上，通過(guò)這些事件記錄，還可以得到更多信息，接下來(lái)展開(kāi)分析一下。

　　2018年3月初，著名的數(shù)字貨幣交易平臺(tái)幣安出現(xiàn)大量賬戶異常交易，繼而影響了整個(gè)數(shù)字貨幣市場(chǎng)的交易行情。這個(gè)事件的操作手法很有趣，后文會(huì)再提起。這里要說(shuō)的是，事件發(fā)生之后，有人發(fā)文指責(zé)事件是幣安官方自導(dǎo)自演的，幣安聯(lián)合創(chuàng)始人何一后續(xù)發(fā)文回應(yīng)，反駁這一指責(zé)。事件真相究竟如何筆者不打算在此討論，這里是想要援引何一回文中的一句話：“出現(xiàn)這種安全問(wèn)題是幾乎不可避免的，任何種類的交易所每天都遭受攻擊，一方面政策空間狹窄，導(dǎo)致幣圈不太可能照搬傳統(tǒng)交易所體系，另一方面虛擬貨幣交易所面世才幾年，不管是風(fēng)控還是技術(shù)積累都需要一個(gè)成長(zhǎng)過(guò)程。”

　　是否認(rèn)同這個(gè)說(shuō)法，是個(gè)仁者見(jiàn)仁的問(wèn)題，筆者所關(guān)注的主要是它的思路。這個(gè)說(shuō)法當(dāng)中，把數(shù)字貨幣交易平臺(tái)同傳統(tǒng)金融交易平臺(tái)做了對(duì)比，本文接下來(lái)也會(huì)使用同樣的思路來(lái)闡述。

　　二、黑客為何攻擊數(shù)字貨幣交易所?

　　從邏輯上說(shuō)，任何主觀行為都是有目的的，黑客攻擊行為的目的，不乏有為了炫耀技術(shù)或者表達(dá)政治訴求之類的情況，但是占比最大的還是為了獲得經(jīng)濟(jì)回報(bào)。

　　現(xiàn)實(shí)生活中，是存在攻擊傳統(tǒng)金融機(jī)構(gòu)例如銀行或者證券交易所系統(tǒng)的情況的，但是這方面的記錄相對(duì)上文而言少很多，下面分析一下原因。

　　筆者認(rèn)為，主要存在兩方面的原因，一方面，傳統(tǒng)金融機(jī)構(gòu)所保有的資產(chǎn)，無(wú)論是數(shù)字化的(相對(duì)于實(shí)體化的紙幣和硬幣)法定貨幣，還是證券憑證，普遍都是記名的，其流轉(zhuǎn)過(guò)程有跡可循，并且接受監(jiān)管，要實(shí)現(xiàn)難以追蹤的轉(zhuǎn)移效果，成本高難度大。另一方面，傳統(tǒng)金融行業(yè)的數(shù)字化歷史已經(jīng)很久，無(wú)論是人才儲(chǔ)備，技術(shù)積累，制度規(guī)范都已經(jīng)很成熟，單就信息安全方面的建設(shè)水平也相對(duì)很高了，要從技術(shù)上實(shí)現(xiàn)成功侵入盜走資產(chǎn)并逃脫追捕這一系列步驟難度非常大。

　　反觀數(shù)字貨幣交易所，一方面，數(shù)字貨幣的匿名性，不可篡改性以及無(wú)監(jiān)管特性，導(dǎo)致了資產(chǎn)轉(zhuǎn)移便捷，溯源找回難度大。另一方面，數(shù)字貨幣交易行業(yè)出現(xiàn)時(shí)間短，發(fā)展又非常快，利潤(rùn)高，導(dǎo)致本來(lái)技術(shù)積累就不足的情況下，仍然忽視信息安全方面的建設(shè)，隱藏的安全漏洞多，攻擊起來(lái)相對(duì)容易。

　　三、數(shù)字貨幣交易所在技術(shù)方面面臨的安全威脅

　　目前數(shù)字貨幣交易所在技術(shù)方面面臨的安全威脅，筆者分析主要分為兩大部分。

　　1. 傳統(tǒng)信息系統(tǒng)安全漏洞

　　這一部分來(lái)說(shuō)，數(shù)字貨幣交易所，和傳統(tǒng)金融機(jī)構(gòu)差別不大，其整個(gè)信息系統(tǒng)，由Web服務(wù)器，后端數(shù)據(jù)庫(kù)等元素構(gòu)成，用戶通過(guò)瀏覽器，移動(dòng)端App以及交易所提供的API等多種方式作為客戶端訪問(wèn)服務(wù)器。

　　結(jié)合本文第一部分的事件記錄，可以看出，這部分面臨的安全威脅主要包括，服務(wù)器軟件漏洞，配置不當(dāng)，DDoS攻擊，服務(wù)端Web程序漏洞(包括技術(shù)性漏洞和業(yè)務(wù)邏輯缺陷)，辦公電腦安全問(wèn)題，內(nèi)部人員攻擊等。

　　對(duì)于規(guī)模較大，用戶較多的交易所，還會(huì)面臨用戶被攻擊者利用仿冒的釣魚(yú)網(wǎng)站騙取認(rèn)證信息的問(wèn)題。上文中提到的幣安交易所的異常交易事件，據(jù)官方的說(shuō)法，是攻擊者利用釣魚(yú)欺騙的方式騙取了部分用戶的認(rèn)證憑證，繼而利用API發(fā)起大量交易，將用戶賬戶內(nèi)的其他幣種交易成比特幣，幣安及時(shí)發(fā)現(xiàn)異常，凍結(jié)了提幣功能。有趣的是，攻擊者雖然不能提幣，但是想到了另一個(gè)巧妙的獲利方式，即利用其控制的大量場(chǎng)內(nèi)比特幣操縱市場(chǎng)，影響其他幣種的價(jià)格，再在另外的數(shù)字貨幣期貨交易所進(jìn)行做空操作，最終在無(wú)法提幣的情況下獲利超過(guò)1億美元。在這個(gè)事件中，攻擊者利用了幣安平臺(tái)對(duì)市場(chǎng)的巨大影響力，理論上來(lái)說(shuō)，并沒(méi)有盜取誰(shuí)的數(shù)字貨幣，只是“換了換幣種”，因大量的做空訂單分散在成百上千的其他交易所，導(dǎo)致根源也無(wú)從查起。

　　下圖是“去中心化漏洞平臺(tái)”DVP的漏洞統(tǒng)計(jì)。

　　該平臺(tái)收錄的最早的漏洞信息在2018年07月12日，截止到撰寫(xiě)本文時(shí)，在不到兩個(gè)月的時(shí)間里已經(jīng)收錄了超過(guò)1800個(gè)漏洞，并且仍在以每天數(shù)十個(gè)的速度增長(zhǎng)。

　　上個(gè)月，某安全團(tuán)隊(duì)稱捕獲到了一個(gè)0day漏洞，是某個(gè)數(shù)字貨幣交易所整站程序的邏輯漏洞，有上百個(gè)中小交易所在使用該程序，雖然大眾普遍認(rèn)為，國(guó)內(nèi)外的規(guī)模較大的交易所不會(huì)購(gòu)買使用這種第三方開(kāi)發(fā)的整站程序，但是現(xiàn)在數(shù)字貨幣交易行業(yè)利潤(rùn)高，發(fā)展迅猛，后期可能會(huì)有很多人想要快速進(jìn)入這個(gè)市場(chǎng)，在搜索引擎中搜索“數(shù)字貨幣交易平臺(tái) 開(kāi)發(fā)”等關(guān)鍵字即可發(fā)現(xiàn)這一塊的需求量應(yīng)該還是很大的。

　　其實(shí)在初期使用第三方外包開(kāi)發(fā)的方式本來(lái)未嘗不可，就傳統(tǒng)的銀行領(lǐng)域來(lái)說(shuō)，大量的中小規(guī)模銀行的信息系統(tǒng)也會(huì)使用第三方公司的產(chǎn)品來(lái)定制，因?yàn)檎畬用娴膰?yán)格監(jiān)管以及這一類開(kāi)發(fā)公司長(zhǎng)久的技術(shù)積累，銀行使用的類似系統(tǒng)通常安全性是有足夠保證的。但是在數(shù)字貨幣行業(yè)則不同，部分從事這一類開(kāi)發(fā)的個(gè)人和團(tuán)隊(duì)對(duì)于產(chǎn)品質(zhì)量的保障能力很有限，導(dǎo)致通用型漏洞頻發(fā)也就不奇怪了。

　　對(duì)于這一部分安全威脅的解決方法來(lái)說(shuō)，通過(guò)滲透測(cè)試，代碼審計(jì)等安全服務(wù)，挖掘并修復(fù)系統(tǒng)存在的安全漏洞，可以參考傳統(tǒng)金融行業(yè)的安全規(guī)范和最佳實(shí)踐結(jié)合自身情況完善安全體系的建設(shè)。

　　2. 智能合約安全漏洞

　　以太坊被稱為“區(qū)塊鏈2.0”技術(shù)的代表，因?yàn)樗С种悄芎霞s的運(yùn)行?？梢赃@么來(lái)理解，比特幣系統(tǒng)就是在底層區(qū)塊鏈技術(shù)的基礎(chǔ)之上，加上一個(gè)定義了獎(jiǎng)勵(lì)分發(fā)規(guī)則的“合約”所構(gòu)成的。而以太坊的出現(xiàn)，提供了現(xiàn)成的底層區(qū)塊鏈網(wǎng)絡(luò)，開(kāi)發(fā)者可以在這個(gè)基礎(chǔ)之上，使用Solidity等程序開(kāi)發(fā)語(yǔ)言，開(kāi)發(fā)部署自己的智能合約，包括模擬一個(gè)類似比特幣一樣的產(chǎn)品。因?yàn)镾olidity是圖靈完備的程序開(kāi)發(fā)語(yǔ)言，因此理論上，可以用來(lái)實(shí)現(xiàn)各類分布式應(yīng)用。

　　開(kāi)發(fā)者編寫(xiě)好智能合約代碼之后，將代碼部署到區(qū)塊鏈上，程序在以太坊節(jié)點(diǎn)的EVM虛擬機(jī)上執(zhí)行。代碼上鏈之后，各節(jié)點(diǎn)執(zhí)行相同的操作，同步數(shù)據(jù)狀態(tài)。

　　和傳統(tǒng)的程序一樣，智能合約也不可避免的會(huì)存在安全漏洞，不同的是，由于區(qū)塊鏈技術(shù)的不可篡改特性，一旦合約部署好之后，就很難再修復(fù)其中的問(wèn)題。一些存在例如整型溢出等漏洞的代幣分發(fā)合約部署之后，代幣上線交易所交易，接著漏洞被觸發(fā)利用，短時(shí)間內(nèi)超發(fā)大量代幣影響市值，對(duì)交易所和用戶來(lái)說(shuō)都會(huì)造成巨大的經(jīng)濟(jì)損失。

　　這部分安全威脅，就與傳統(tǒng)的信息安全漏洞大不一樣了。在傳統(tǒng)金融市場(chǎng)中，也存在類似的攻擊，例如20世紀(jì)末期亞洲金融危機(jī)時(shí)，索羅斯對(duì)港元的操作。不同的是，在傳統(tǒng)金融市場(chǎng)要發(fā)動(dòng)這樣的攻擊需要巨量的資金支持才能實(shí)現(xiàn)。而在數(shù)字貨幣領(lǐng)域，擁有挖掘合約漏洞能力的人理論上都有可能實(shí)現(xiàn)這樣的攻擊。

　　下圖是部分基于以太坊ERC-20智能合約標(biāo)準(zhǔn)開(kāi)發(fā)的代幣合約的漏洞信息：

　　實(shí)際的威脅情況可能比這還要嚴(yán)重得多。我們說(shuō)智能合約之所以“智能”，是因?yàn)橐坏┎渴鹕湘溨?，它的?zhí)行過(guò)程透明可見(jiàn)，不可篡改，無(wú)需人工干預(yù)，自然解決了執(zhí)行過(guò)程中的信任問(wèn)題，這也是區(qū)塊鏈技術(shù)出現(xiàn)時(shí)所想要解決的根本問(wèn)題。然而雖然解決了程序“運(yùn)行”階段的問(wèn)題，但是如果合約代碼存在漏洞，開(kāi)始執(zhí)行之后被利用，背離了原本的涉及初衷，那區(qū)塊鏈技術(shù)的這些優(yōu)秀特性反而會(huì)成為挽救損失的障礙。

　　應(yīng)對(duì)這部分安全威脅，需要交易所在上線新的代幣之前，先經(jīng)過(guò)完善的合約代碼安全審計(jì)工作，防患于未然，將可能的攻擊威脅降到最低。
第三十四屆CIO班招生
國(guó)際CIO認(rèn)證培訓(xùn)
首席數(shù)據(jù)官（CDO）認(rèn)證培訓(xùn)

責(zé)編：zhangxuefeng

免責(zé)聲明：本網(wǎng)站（http://www.www.gypb.net/）內(nèi)容主要來(lái)自原創(chuàng)、合作媒體供稿和第三方投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
本網(wǎng)站刊載的所有內(nèi)容（包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等）版權(quán)歸原作者所有。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，請(qǐng)及時(shí)通知本站，予以刪除。