数字货币交易所的潜在漏洞详细报告
扫描二维码
随时随地手机看文章
多年来,黑客已经从多个交易所盗走了价值数百万美元的数字货币。数字货币市场吸引了大量的人才。投资者和其他人都希望获得最高回报,并且不会被任何人影响。
一旦您的数字货币被盗,您将无法获得退款,交易和资产也得不到任何保护,这使得投资数字货币真的很危险。大量的数字货币交易涵盖了大量的数字现金。这些事实因素对黑客很有吸引力。
在过去的8年里,大约有31个数字货币交易所被黑客攻击,而且有的交易所被盗多次。有超过10亿美元的数字货币(实际上是13亿美元)被盗了。一些数字货币交易所从中学习到了经验,并设法恢复挽回损失,其他大多数被盗的交易所都破产了。像Mt.Gox,Bitcoinica,PicoStocks,Bitcurex,甚至遭到黑客的多次攻击。
今天,超过200个数字货币交易所向客户提供他们的服务,这个数字是不断的变化的。因此,一个交易所的数字货币下跌或遭到黑客攻击不会导致交易量下降。市场,就像以前一样,许多国家也开始这样做了,引入数字货币交易所的监管要求,但仍然不是所有得投资者都能受到充分的保护从而失去他们的资产。因此,我们应该吸取经验,投资可靠的资产,多样化您的组合并选择好的数字货币交易所。
在准备此安全评级时,我们已经评估了安全措施,以下可能对交易所及其用户产生负面影响的潜在漏洞。
该报告将详细讨论以下问题:
• 控制台错误
• 用户帐户安全
• 注册商和域名安全
• Web协议安全性
我们选择日交易额超过100万美元的交易所; 名单上的交易所有100家。
控制台错误
代码中的这些错误可能导致某些系统出现故障,从而导致系统崩溃给用户带来问题。然而,这种类型的漏洞通常并不重要,更需要考虑的是,这些漏洞给用户带来的损失。
• 对此类漏洞既没有安全措施也没有警告用户的交易所:49%
• 交易所没有漏洞:68%
结论:32%的交易所存在代码错误,会导致用户出现某些操作缺陷。
用户帐户安全
已在每个交易所创建单独的帐户。以下参数评估:
1、创建少于8个符号的密码的可能性
2、单独使用数字或字母创建密码的可能性
3、帐户创建后立即进行电子邮件验证
4、2FA的存在与否
评估结果如下:
• 41%的交易所允许少于8个符号的密码
• 37%的交易所允许使用数字或字母密码
• 5%的交易所允许创建帐户而无需电子邮件验证
• 3%的交易所缺乏2FA
• 只有46%的交易所满足所有四个参数
注册商和域名安全
我们使用了cloudflare平台(?https://www.cloudflare.com/domain-security-check?),检查这些交易所是否存在与其注册商和域名相关的漏洞:
1、注册表锁?;注册表锁定是注册表中的一个特殊标志(不是注册表),它阻止任何人在没有与注册表进行带外通信的情况下对您的域进行更改。
2、注册商锁;注册商锁定(不要与注册表锁混淆)可以防止这种情况发生通过要求更改auth代码而不仅仅需要域名劫持全球登记处的信息。
3、角色账户;注重安全的组织避免泄露这种私人使用角色帐户注册其域名的信息。角色帐户保护组织中的个人不被攻击者作为目标。
4、期限;我们建议至少有6个月的有效期限。这为处理不可预见的复杂问题留下足够余地,例如拥有该域名的员工离开公司(同样,这是一个使用角色账户很好的理由)。
5、DNSSEC;DNSSEC通过使用加密签名验证所有DNS查询来消除DNS缓存中毒的威胁。 DNS服务器将拒绝未经身份验证的响应,而不是盲目缓存DNS记录。
每个项目有三种可能的结果:上面的所有项目都正确运行(1),无正常运行(0),警告(0.5)。评估结果如下:
• 只有2%的交易所使用注册表锁定
• 只有10%的交易所使用DNSSEC
• 没有交易所有五个问题都涉及到
• 只有4%的交易所在这5个领域中使用到了4个
Web协议安全性
我们已经检查了接受审查的交易所是否具有能确保防范各种攻击的标头。我们使用了以下资源:https://www.htbridge.com/websec/根据交易所是否具有该协议,它的评分是1或0。我们检查了以下标头
如下:
1、严格传输安全标头(http -严格传输安全(HSTS)标头强制浏览器以HTTPS浏览网站)。
2、x - xss保护头(x - xss保护定义了浏览器应该如何执行跨站点脚本保护)
3、内容安全策略头(Content-Security-Policy, CSP)支持为每种类型的内容定义允许的源,帮助抵御XSS攻击。
它还允许定义一些浏览器行为,例如沙箱强制,以发送到HTTP引用头中的值。
4、X-frame-options标头(X-frame-opTIons标头指定是否为网站应该允许自己被框起,并从哪个起源。阻止框架有助于抵御点击劫持等攻击。)
5。X-content-type-opTIons标头(X-content-type-opTIons可以引导浏览器禁用嗅探页面内容类型的功能,并且只使用指令本身中定义的内容类型。这提供了对XSS或免下车下载的保护攻击。)
评估结果如下:
• 只有10%的交易所拥有全部五个标头
• 29%的交易所没有上述标头
• 只有17个交易所具有内容安全策略标头
一般交易所安全评分
根据上述类别分析了所选择的交易所使用以下评分系统:
• 控制台错误:每个类别最多5个点,分析2个参数
• 用户帐户安全:最多18个点,分析4个参数
• 注册商和域名安全:最多34个点,分析5个参数
• Web协议安全性:最多43个点,分析5个参数
总计以上最高得分为100分
下载文档
