魔道一尺道高一丈:交易所如何防范黑客攻击?

在数字货币产业链中,交易所无疑是当中的核心环节,作为链接项目方与普通投资者的枢纽,对整个行业的发展起着重大推动作用。随着虚拟币的水涨船高,攻击交易所变得有利可图。据统计,成功入侵一家交易所能给黑客带来大约 1000 万美元的利益。而各交易所参差不齐的防护手段,给黑客的攻击带来很大的便利,直接威胁用户的资金安全。

区块链历史上黑客入侵事件并不鲜见,早在2011年,一个化名叫AllinVain的黑客获取了一家矿场的硬盘,转走了25000个比特币到外部钱包。这笔钱至今下落不明。这种操作手法就好比黑客从电脑里把银行账户里的资金全部转走。这是第一次有媒体报道加密货币被盗事件,在当时引起了重大反响。

20143月,黑客攻破了Poloniex的服务器, 12.3%的总资产被盗。

2014年,加密货币史上最早且最大的交易所MtGOX占据了全球70%的比特币交易量。201427日,MtGox声称其安全软件中存在漏洞,紧急暂停了所有交易。两周后,交易所申请破产,网站突然消失。用户共损失了85万比特币,当时价值高达4.7亿美金。这一事件导致投资者信心受挫,比特币价格暴跌36%

20151月,Bitstamp热钱包里的19000个比特币被黑客通过钓鱼手段窃取。幸运的是,Bitstamp 90%的币都存储在冷钱包里,并没有受到影响。

20168月,Bitfinex升级安全软件,却没想到软件内含有漏洞,黑客从中盗走12万个比特币,当时价值7200万美元。

20181月,日本交易所Coincheck被盗了5亿个NEM币。黑客把币从钱包转移出来后立即把NEM换成了其他币。这次损失高达5.3亿美金,超过MtGox2014年的损失。

被盗事件此起彼伏,仅2018年上半年就丢失了价值11亿美金的加密货币。尽管区块链不容易受到攻击,但其实智能合约,钱包和人为失误都有可能成为被盗的导火线。

黑客攻击交易所主要是由于加密货币交易所聚集了大量的资金,并且相比较国家级的交易所和相应的防备技术,黑客对其具备有效的攻击手段。由于加密货币本身在传输过程中就是通过代码的方式,具有匿名性,所以无论是得手后的套现还是资产转移方面,虚拟货币的属性都会为黑客提供便利。

黑客攻击肆无忌惮,而交易所也在交锋中不断总结经验,升级安全措施:以SilkTrader星客交易所为例,他们的技术团队就在这方面做了很多功课:

针对传统信息系统安全漏洞,SilkTrader星客利用了与银行类似的安全管理方式。就传统的银行领域来说,大量的中小规模银行的信息系统也会使用第三方公司的产品来定制,因为政府层面的严格监管以及这一类开发公司长久的技术积累,银行使用的类似系统通常安全性是有足够保证的。而SilkTrader星客便利用了银行的这种安全管理模式,通过渗透测试,代码审计等安全方式,挖掘并修复系统存在的安全漏洞,可以参考传统金融行业的安全规范和最佳实践结合自身情况完善安全体系的建设。

和传统的程序一样,智能合约也不可避免的会存在安全漏洞,不同的是,由于区块链技术的不可篡改特性,一旦合约部署好之后,就很难再修复其中的问题。一些存在例如整型溢出等漏洞的代币分发合约部署之后,代币上线交易所交易,接着漏洞被触发利用,短时间内超发大量代币影响市值,对交易所和用户来说都会造成巨大的经济损失。

而这一部分的安全威胁,仅仅依靠交易所本身的管理是不能完全杜绝。SilkTrader星客给出的解决方案是,在一开始甄选项目的时候就提高上币门槛:经过完善的代码安全审计工作,系统性的评估代码效率和安全性,防患于未然,将可能的攻击威胁降到最低。

除了以上技术层面的安全保障方法外,SilkTrader星客也一直加强安全保障体系,同时从交易所,用户和技术三个层面寻求更为稳妥的数字货币存取安全措施,比如在现行基础上加强用户的KYC认证,并增加其他的KYC认证体系,针对资金量大的用户甚至加入一定的POF资金验证安全方式。

同时,SilkTrader星客还采取了冷钱包离线存储的方式,离线存储的数字货币量,将占到数字货币总量的一定百分比,且这个百分比不会太低。

为有效消除内部安全隐患,SilkTrader星客参照传统交易所和银行管理制度,强化内部安全防范工作。

比如,终端全部安装企业级病毒防护,防止入侵;终端全部采用绿盾加密软件,源码经过加密,无法外传;内部网络安装行为审计系统,所有操作日志可查,并限制部分可操作机器;内部密码进行分散式管理,不同密码基本由不同人员保管,重要操作需要同时在场进行;专机专用,操作员进行网络隔离等。

数字货币交易市场还是处于早期阶段,交易所安全问题的解决迫在眉睫。并且,交易所在追求高交易量和用户流量的同时,不应该忽视必要的安全措施,否则只会因小失大。星客交易所采用多重安全手段保护用户资产,值得更多交易所学习。

作者:刺猬财经,仅作分享,存在异议请联系平台删除。本文观点不代表刺猬财经 - 刺猬区块链资讯站立场。