当前位置:首页 > 物联网 > 区块链
[导读] 慢雾科技在推动区块链世界的安全联防及对抗日趋严峻的地下黑客攻击工作上做了许多沉淀,本篇安全监测报告,慢雾科技的区块链威胁情报系统(BTI)提供了相关素材支撑,慢雾科技将从币安(Binance)这

慢雾科技在推动区块链世界的安全联防及对抗日趋严峻的地下黑客攻击工作上做了许多沉淀,本篇安全监测报告,慢雾科技的区块链威胁情报系统(BTI)提供了相关素材支撑,慢雾科技将从币安(Binance)这个世界顶级的数字货币交易所为安全监测对象,简析下慢雾科技的评估结论。

币安安全监测分析

慢雾科技于 2018 年 12 月和币安开始正式对接安全,持续到现在,慢雾科技针对币安做了许多安全监测的工作,在这,我们正式做些必要的披露以客观看待币安当下的安全体系能力。

据慢雾科技的近期安全监测显示,币安的生产环境架构、服务器安全、应用安全、钱包私钥安全、办公环境安全等重要安全项目当前处于优质状态,同时币安的风控体系完善,配备多项措施保障用户资产安全。慢雾科技对币安当前的安全体系建设工作整体评估为:优秀。

在币安风控体系方案,我们列举几项重要的点:

1. 前置 WAF(Web ApplicaTIon Firewall),全站 HTTPS

结论:优秀

描述:币安关键业务相关的域名及 IP 都做了全面的 WAF 策略,这个策略可以很好抵御来自外部针对 Web 服务的直接攻击,同时全站 HTTPS 策略,可以防止潜在的中间人劫持攻击风险。这些对于用户来说,通过 Web 及 App 访问币安的服务是安全且隐私的。

2. 未明文传输关键敏感信息(如密码)

结论:优秀

描述:通过相关安全工具及人工的审计,币安用户在币安上做的关键敏感操作所传输的数据做了额外一层安全加密保护。

3. 在各类敏感操作上都需要通过 2FA,如 API 的创建与修改,账户地址的绑定与修改,资金划转等

结论:优秀

描述:2FA 指双因素认证,这个策略是安全策略里的最佳安全实践,币安针对用户的敏感操作尤其涉及到资金的操作都做了全面完备的 2FA 策略,可以大大降低用户被盗号攻击、撞库攻击导致的风险。币安的 2FA 策略还引入了世界领先的 YubiKey 方案,在 2FA 方面,币安已经走在了最前沿。

4. 找回密码后 24 小时内不能进行提现操作

结论:优秀

描述:找回密码是业务正常逻辑,但也可能被恶意利用,许多地下黑客会通过获取用户的邮箱等权限,在目标业务上进行密码找回达到修改密码的目的,从而立即发起盗币攻击。24 小时策略,平衡了正常业务体验和这类安全风险,给遭遇这类安全风险的用户相对多的时间进行弥补防御。

5. 邮件/网站有防钓鱼提醒

结论:优秀

描述:许多用户账号被盗的原因来自遭遇了钓鱼网站的攻击,币安的“防钓鱼提醒”增强了用户的安全意识,可以降低用户被钓鱼的概率。

6. 首次登录有安全教育

结论:优秀

描述:数字货币领域对许多新人来说是个陌生的领域,新人是被攻击的高危人群,在首次使用币安的服务时有安全教育机制,对用户来说是种很好的安全引导。无论是“防钓鱼提醒”还是相关“安全教育”,币安做到了第一。

7. 引入安全性较高的第三方链接

结论:优秀

描述:安全体系建设工作中,第三方资源的安全是很容易被忽视的,币安的业务谨慎引入了第三方资源,大大降低了由于第三方出安全问题间接导致币安出安全问题的风险。在币安的业务前端引入的第三方链接是来自 Google 的相关服务,Google 的安全等级在业内被普遍称道。

8. 应急响应速度与全面性能力

结论:优秀

描述:币安安全团队对来自第三方安全机构、外部安全威胁的应急响应很及时,且依托自身安全体系沉淀,应急响应能做到全面性覆盖。币安的“SAFU 基金”可以很好应对黑天鹅事件下用户资产安全可能导致损失的赔付工作。

9. 资金安全策略

结论:优秀

描述:币安针对用户资金的钱包安全架构采用的是冷热分离设计,并在私钥的生成、存储及使用环节严格采用了私钥绝对密文策略,同时在这些环节采用了多层安全风控机制,其中的 KYT 策略能做到对每笔交易的监测与异常发现。

10. 完成第三方安全机构审计

结论:优秀

描述:币安通过了慢雾科技的第一次安全审计,币安当下安全体系建设工作进展顺利。

除了上述这些风控体系相关的审计结论,我们也认为币安在安全方面的其他工作做了许多努力,其中包括:及时透明的披露态度;自身安全团队的持续组建工作;与安全社区的关系维护;面向整个数字货币行业的安全分享工作;币安的去中心化交易所(Binance DEX)上线运行。我们认为币安是一家以安全为生命线的企业。

通过慢雾科技与币安近一年的安全互动情况来看,币安体量巨大,安全体系建设还有不少路要走,虽然核心模块的安全已经做到了优秀,但安全是个整体,也是个持续动态发展的过程,一些安全还存在一定的边界盲区。有些安全工作是需要内部安全团队不断加强,但有些可以和业内知名安全机构合作,其中包括:AML、威胁情报、人员安全教育、渗透测试、红蓝对抗、外部安全监测、相关安全防御产品等,并加深全球白帽黑客的关系维系,将安全护城河能力再上一层楼。

关于安全监测报告

慢雾科技力求以最客观最职业的第三方安全机构视角,在获得币安书面授权情况下,针对币安目标业务进行全面的安全体系建设工作的持续安全监测并辅以场内确认,最终根据双方意愿客观披露阶段性的安全监测结果。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭