互金安全专委会：加密资产交易平台主要有六类常见隐患和漏洞

据第一财经报道，8月8日，国家互联网金融安全技术专家委员会（下称“互金专委会”）发布《区块链技术安全概述报告》（下称《报告》）指出，区块链技术目前的发展方兴未艾，大多的技术和应用处于试验阶段。目前，发生的安全事件多集中出现于加密资产相关领域，给用户造成了较大的经济损失，其安全问题日益受到行业关注。

就在最近的几个月里，人们目睹了数起针对交易平台的攻击。例如日本的加密资产交易平台Coincheck于2018年1月被入侵，损失超过5亿美元。韩国交易平台Coinrail也证实它在2018年6月被黑客攻击，入侵损失达3,690万美元。

报告指出，目前看来，加密资产交易平台主要有六类常见隐患和漏洞，即拒绝服务攻击、网络钓鱼事件、热钱包防护问题、内部攻击、软件漏洞和交易可锻性。

拒绝服务攻击：攻击者通过拒绝服务攻击使得交易平台无法正常访问，也是目前最主要的针对交易平台的攻击方式。用户因为无法准确分辨攻击程度，往往会造成恐慌性的资产转移，从而给交易平台带来损失。

网络钓鱼事件：目前即使是最好的技术措施也无法保护加密资产交易平台免受网络钓鱼攻击。 欺诈者往往通过虚假域名或者仿冒页面的方式迷惑受害者，受害者如无法分辨交易平台的真实性便会遭受资产上的损失。

热钱包防护问题：许多交易平台使用单个私钥来保护热钱包，如果犯罪分子可以访问单个私钥，他们将能够破解与私钥相关的热钱包。 私钥攻击的典型例子是2017年首尔交易所Yapizon的攻击，攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取，总共造成了交易平台近50%的资产损失，并最终导致了交易平台的破产。

内部攻击：由于没有完善的风险隔离措施或对于员工权限监督不力，导致了部分拥有平台操作权限的员工利用内部信任监守自盗。例如2016年交易平台ShapeShift发生的员工盗取BTC事件，其通过私下盗取和将敏感信息转卖给其余人员的方式前后给交易平台造成了23万美元的损失。

软件漏洞：包括单点登陆漏洞、oAuth协议漏洞等。各国都有法律要求银行或其他金融机构实施信息安全措施，以保护客户的存款。但是，由于区块链领域还处于起步阶段，目前缺少适用于加密资产的此类规范。 因此，许多交易平台在缺乏安全规范约束的条件下，存在大量漏洞并非偶然。

交易可锻性：区块链技术的支持者常常认为区块链交易是高度安全的，因为它们被记录在据称不可更改的记录上。 但是每个交易都需要有相应签名，而在交易最终确认之前，记录是可以被暂时伪造的。 “Mt.Gox事件“是加密资产历史上最大的攻击之一，共造成了4.73亿美元的损失，而这次攻击事件便是由黑客在初始交易发布之前向公共帐本提交代码更改进行的。