关于加密货币交易所风险的五大难题
盖蒂
从单一比特币货币开始的指数已经成倍增长,成为包括以太坊,Neo和Ripple在内的全球山寨币生态系统。关于加密的巨大共鸣反映了它的增长。尽管如此,拥有交易所或投资加密货币还是存在真正的风险。这些交易所的技术架构和虚拟性是危险的。这些风险与区块链无关。相反,他们的关键弱点隐藏在水线之下,交易所基础设施本身。
应用层安全性的未来将决定加密货币是否会在持续的交易所黑客,腐败和全球关注的重压下屈服。以下是关于这些无边界加密货币市场的安全状况的真相。
即使是在冷钱包里,你的钱也可能是攻击的热门目标。
神话是一个智能投资者将他们的比特币保存在冷库中。这是错的。在交易所中,所有存储看起来像一个热钱包。
在过去的五年中,黑客已经证明,如果他们可以破解您的交易所,他们可以窃取数百万美元,而无需攻击您的冷钱包。任何在线活动或应用层都是黑客的目标。然而,所有BTC事件(存款,取款等)必须在线发生。一旦上线,造币很容易受到黑客攻击。从本质上讲,冷钱包随着使用而变暖。
交易所本身需要有适当的应用安全措施来保护。寻找bug赏金计划或安全审计报告,以确保它们。
你的交易所实际上可能不在你想象的地方。
位置就是一切。特定的物理和司法管辖区交易所地点主要关注加密货币安全。目前没有全球的交易所规定,对投资者的保护甚至更少(美国诉讼仍然超过2014年发生的33亿美元违反东京MTGOX的行为)。诀窍是:服务器的实际地理位置可能不是由于缓存服务器和重定向而出现的情况,使得估计风险更加困难。
总风险等级计算具有复杂的数学计算。位置还决定了非网络犯罪风险,如税收,消费者权利,银行监管以及当地的金融和法律环境。从硬币兑换到治理所需的一切都取决于交易所的位置。
最后,位置是技术问题 – 而不仅仅是基础设施。如果您使用的是像亚马逊网络服务,谷歌云或Azure这样的知名产品,那就是可靠的技术。但是,较少建立的云堆存在停机或技术疏忽的风险,而您可能无法访问您的资金。
服务器的实际位置应列在交易所法规和服务条款中。还有技术方法来跟踪事务的原始源/端点。确保验证交易所的实际位置是您的交易勤勉的一部分。
双因素并不意味着双重安全。
身份验证检查可能无法阻止盗窃。漏洞可以存在于客户端和服务器端应用程序中。
在客户端,黑客可以潜入并利用XSS问题在HTML代码中更改客户的提款地址,并从该合法帐户中抽取资金到他们自己的合法帐户。这些看起来像交易,而不是闯入。
由于服务器端漏洞(如远程代码执行(RCE)),攻击者可以轻松完全避免任何双因素检查。通过利用此漏洞并绕过身份验证,不良参与者可以使用您的客户端ID执行自己的事务。
虽然双因素身份验证(2FA)是通过简单地窃取密码来避免帐户超越的重要措施,但它并不能取代客户端和服务器端的其他系统保护措施。
4.分布式交易所(DEX)是可以攻击的。
分布式交易所不是100%安全的。这不是关于交易所的类型。即使使用最安全的加密货币交易所或钱包,您必须用于交易的Web界面也是不可避免的风险。分布式交易所容易受到客户端漏洞的攻击,例如CSRF或XSS攻击。他们还容易受到访问超越攻击(凭据被黑客入侵)和在任何在线交易期间出现的漏洞。
利用这些漏洞,黑客可以直接在HTML代码中更改目标地址,仅作为一个示例。
代码本身就很脆弱。即使整个加密货币交易所系统都基于智能合约,智能合约本身也是可以包含可破坏漏洞的代码。
无论交易是中心化还是通过后端的权力下放来抵御风险,从前端角度来看,交易所仍处于风险之中。这是因为前端活动 – 使用其Web界面的加密货币客户 – 都是中心化的。如果您使用互联网连接到某人,则没有实际的去中心化。在某个地方,仍然存在可以攻击的中心化服务器。
寻找包括白皮书的交易所,包括智能合约的安全审计和交易所前端应用服务器的安全审计。
你的交易所里面有什么?了解技术和基础设施。
交易所中的所有内容对于确保您的虚拟货币安全至关重要。网络和云提供商与现有的开发,部署和安全流程同样重要。即使是细微的细节也可以打破一切。
加密货币并没有神奇地进出存储。您使用的热钱包或冷钱包周围存在漏洞。人们可以改变你的钱或你发送的金额。
这就是为什么在您的交易所网站上查看技术和合作伙伴页面以了解底层云或API基础架构的重要性。如果他们没有这些页面,请特别注意它。这应该是一个鲜红的旗帜。
结论
所有受保护的后端加密货币操作都必须通过更易受攻击的前端服务器。您需要知道,即使受保护最多的后端服务器进出的“网关”本身也是安全的。
攻击者不会浪费时间来破解你的硬件或基础设施。相反,他们将尝试利用应用程序和客户端漏洞,这就是为什么近年来这么多交易所遭到攻击的原因以及为什么你需要确保你使用的交易所具有适当的应用程序安全性。
福布斯技术委员会是世界级CIO,CTO和技术主管的受邀社区。
我有资格吗?