本文原发于:CSDN
CSA GCR 区块链安全工作组买卖所安全小组关于曩昔几年买卖所产生的安全事件进行了分析,按照安全事件的产生频率和资金损失程度总结了首要的十个安全危险。
【原创作者】邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦(按拼音字母排序)
【审阅专家】陈大宏、赵勇
1 高档长时间要挟(APT:Advanced Persistent Threat)
危险描绘:高档长时间要挟(英语:Advanced Persistent Threat,缩写:APT),又称高档持续性要挟、先进持续性要挟等,是指藏匿而持久的电脑侵略进程,通常由某些人员精心策划,针对特定的方针。其通常是出于商业或政治动机,针对特定安排或国家,并要求在长时间内保持高隐蔽性。高档长时间要挟包含三个要素:高档、长时间、要挟。高档着重的是运用复杂精密的歹意软件及技术以运用体系中的缝隙。长时间暗指某个外部力气会持续监控特定方针,并从其获取数据。要挟则指人为参加策划的进犯。数字货币买卖所的高档长时间要挟一般是黑客在进犯之前对进犯对象的业务流程和方针体系进行准确的搜集。在此搜集的进程中,此进犯会主动挖掘被进犯对象身份办理体系和应用程序的缝隙,并运用电子邮件和其他垂钓手法安装歹意软件潜伏等待老练时机会,再运用0 day 缝隙或许买卖所流程方面的缝隙进行进犯。比较著名的针对数字货币买卖所的APT黑客团队包含CryptoCore(也被称呼为:Crypto-gang”,“Dangerous Password”, “Leery Turtle”大约成功盗取2亿美金)和 Lazarus(大约盗取5亿美金)。
2 散布式拒绝服务(DDOS)
危险描绘:散布式拒绝服务进犯DDoS是一种基于拒绝服务进犯(DoS)的特殊方法。是一种散布的、协同的大规模进犯方法。单一的DoS进犯一般是选用1对1方法的,它运用网络协议和操作体系的一些缺点,选用欺骗和伪装的策略来进行网络进犯,使网站服务器充满大量要求回复的信息,耗费网络带宽或体系资源,导致网络或体系不胜负荷以至于瘫痪而中止提供正常的网络服务。与DoS进犯由单台主机建议进犯相比较,散布式拒绝服务进犯DDoS是借助数百、乃至数千台被侵略后安装了进犯进程的主机同时建议的集团行为。数字货币买卖所常常遭到DDOS进犯。
3 内鬼贼喊捉贼(Insider Attack)
危险描绘:买卖所内部人员运用公司内部安全流程的缝隙,贼喊捉贼;或许在离开买卖所以后运用流程和安全操控方面的缝隙建议进犯。
4 API 安全危险问题
危险描绘:买卖所一般都会公开订单查询、余额查询、市场价格买卖、限价买卖等等API。API的安全假如没有办理好,黑客能够运用API安全缝隙盗取资金。一般或许的API安全缝隙如下:
(1)没有身份验证的API
API必须有身份验证和授权机制。契合行业标准的身份验证和授权机制(例如OAuth / OpenID Connect)以及传输层安全性(TLS)至关重要。
(2)代码注入
这种要挟有多种方法,但最典型的是SQL,RegEx和XML注入。在规划API时应了解这些要挟并为避免这些要挟而做出了尽力,部署API后应进行持续的监控,以承认没有对出产环境造成任何缝隙。
(3)未加密的数据
只是依靠HTTPS或许TLS关于API的数据参数进行加密或许不行。关于个人隐私数据和资金有关的数据,有必要增加其他在应用层面的安全,比方Data Masking, Data Tokenization, XML Encryption 等等。
(4)URI中的数据
假如API密钥作为URI的一部分进行传输,则或许会遭到黑客进犯。当URI具体信息出现在浏览器或体系日志中时,进犯者或许会拜访包含API密钥和用户的敏感数据。最佳实践是将API密钥作为消息授权标头(Message Authorization Header)发送,由于这样做能够避免网关进行日志记载。
(5)API Token 和 API Secret 没有保护好
假如黑客能够获得客户乃至超级用户的API Token 和 API Secret ,资金的安全就成为问题。
没有关于API的运用进行有效的检测,黑客或许运用API进行多账户、多笔的转账。API的实时安全检测假如不能判别这种进犯,就会有损失。
5 假充值问题(False Top-up)
危险描绘:假充值是指链上逻辑过错或买卖所链上链下对接的时分,对买卖的检验不行谨慎导致的过错入账的问题。
6 买卖所热钱包存储过多资金,成为黑客方针
危险描绘:买卖所热钱包存储过多资金,成为黑客方针,这个危险与买卖所热钱包有关的IT体系的缝隙、选用不安全的存储方法对私钥进行存储、安全意识较低有关。黑客选用包含但不限于以下的方法进行进犯:
歹意链接垂钓搜集用户信息。黑客投进歹意链接引导用户点击,借此搜集用户的登陆凭证。
数据库被进犯导致私钥泄露。买卖所数据库中寄存其热钱包私钥,黑客对数据库进行进犯,获取到数据库数据后经过数据库寄存的私钥进行转账。
IT体系缝隙。买卖所本身体系存在缝隙,黑客经过其自由缝隙获取IT体系操控权后,直接经过IT体系进行转账。
职工贼喊捉贼 。前雇员在离职后经过在职时留下的后门进行资产搬运。
7 51%进犯
(也能够称为硬分叉进犯,或许双花进犯)
危险描绘:51%进犯,又被称为Majority attack。这种进犯是经过操控网络算力完成双花。假如进犯者操控了网络中50%以上的算力,那么在他操控算力的这段时间,他能够将区块逆转,进行反向买卖,完成双花。对同一笔买卖进行两层花费乃至回滚以往的历史买卖。
8 不安全的文件处理
危险描绘:这种危险与文件的不安全处理有联络。包含下载外部电子邮件的链接或许附件,也就是传统意义上的垂钓进犯;也包含关于买卖所用户上载的KYC(实名验证)文件没有经过安全处理。歹意代码躲藏图画中,这种方法也称呼为隐写术(Steganography),进犯者将歹意代码与指令躲藏在看似无害的图画之中乘机履行,这种危险与APT危险有必定的联络。一般来说,单单一封邮件无法对你实施进犯,必定要以邮件为根底,在此之上产生其他交互才能够,比方说点击链接后输入内容,运行/打开文件,当需求以上动作时,便存在危险。
9 DNS域名绑架(DNS domain name hijacking)
危险描绘:DNS 服务是互联网的根底服务,在DNS查询中,需求有多个服务器之间交互,一切的交互的进程依赖于服务器得到正确的信息,在这个进程中或许导致拜访需求被绑架。
绑架拜访需求有多种方法:
运用路由协议缝隙,在网络上进行DNS域名绑架。如BGP协议缝隙(BGP协议关于两个已经成功建立BGP衔接的AS来说,基本会无条件的相信对方AS所传来的信息,包含对方声称所拥有的IP地址范围),将受害者的流量截获,并返回过错的DNS地址和证书。
绑架者操控域名的一台或多台权威服务器,并返回过错信息。
递归服务器缓存投毒,将大量有毒数据注入递归服务器,导致域名对应信息被篡改。
侵略域名注册体系,篡改域名数据,误导用户的拜访。
上述的进犯行为都会将用户的拜访重定向至绑架者操控的一个地址。运用一个冒充的证书让不明真相的用户登陆,假如用户无视浏览器的证书无效危险正告,持续开端买卖,就会导致钱包里的资金被盗。
10 第三方安全
危险描绘:运用第三方服务的时分:
由于买卖所运用第三方服务自行装备过错导致被黑;
由于第三方服务本身缝隙导致买卖所被黑;
由于第三方服务被运用来垂钓投毒投马导致买卖所被黑;
由于第三方服务被黑导致买卖所被黑。
各个危险的事例及应对措施,在白皮书中有具体介绍;
可在云安全联盟大中华区官网https://c-csa.cn/research/results-detail/i-1604/下载进行详读。
*本文有不妥当之处,敬请读者联络CSA GCR秘书处给与雅正!
联络邮箱:[email protected]
关于区块链安全工作组的更多介绍,
请在CSA大中华区官网上检查。*
视野开拓
阶级斗争的状态是确定劳动力价值的因素之一。劳动力可以通过阶级斗争来提高工资和改善生活条件。相反,有组织的资产阶级反击可能会降低劳动力的价值。-《马克思与《资本论》》
