FW融语财经
FW融语财经·区块链技术

互金安全专委会:加密资产交易平台主要有六类常见隐患和漏洞

作者:刘洋

发布时间:2018-08-09 11:51:29

据第一财经报道,88日,国家互联网金融安全技术专家委员会(下称互金专委会)发布《区块链技术安全概述报告》(下称《报告》)指出,区块链技术目前的发展方兴未艾,大多的技术和应用处于试验阶段。目前,发生的安全事件多集中出现于加密资产相关领域,给用户造成了较大的经济损失,其安全问题日益受到行业关注。

就在最近的几个月里,人们目睹了数起针对交易平台的攻击。例如日本的加密资产交易平台Coincheck20181月被入侵,损失超过5亿美元。韩国交易平台Coinrail也证实它在20186月被黑客攻击,入侵损失达3,690万美元。

报告指出,目前看来,加密资产交易平台主要有六类常见隐患和漏洞,即拒绝服务攻击、网络钓鱼事件、热钱包防护问题、内部攻击、软件漏洞和交易可锻性。

拒绝服务攻击:攻击者通过拒绝服务攻击使得交易平台无法正常访问,也是目前最主要的针对交易平台的攻击方式。用户因为无法准确分辨攻击程度,往往会造成恐慌性的资产转移,从而给交易平台带来损失。

网络钓鱼事件:目前即使是最好的技术措施也无法保护加密资产交易平台免受网络钓鱼攻击。 欺诈者往往通过虚假域名或者仿冒页面的方式迷惑受害者,受害者如无法分辨交易平台的真实性便会遭受资产上的损失。

热钱包防护问题:许多交易平台使用单个私钥来保护热钱包,如果犯罪分子可以访问单个私钥,他们将能够破解与私钥相关的热钱包。 私钥攻击的典型例子是2017年首尔交易所Yapizon的攻击,攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取,总共造成了交易平台近50%的资产损失,并最终导致了交易平台的破产。

内部攻击:由于没有完善的风险隔离措施或对于员工权限监督不力,导致了部分拥有平台操作权限的员工利用内部信任监守自盗。例如2016年交易平台ShapeShift发生的员工盗取BTC事件,其通过私下盗取和将敏感信息转卖给其余人员的方式前后给交易平台造成了23万美元的损失。

软件漏洞:包括单点登陆漏洞、oAuth协议漏洞等。各国都有法律要求银行或其他金融机构实施信息安全措施,以保护客户的存款。但是,由于区块链领域还处于起步阶段,目前缺少适用于加密资产的此类规范。 因此,许多交易平台在缺乏安全规范约束的条件下,存在大量漏洞并非偶然。

交易可锻性:区块链技术的支持者常常认为区块链交易是高度安全的,因为它们被记录在据称不可更改的记录上。 但是每个交易都需要有相应签名,而在交易最终确认之前,记录是可以被暂时伪造的。 “Mt.Gox事件是加密资产历史上最大的攻击之一,共造成了4.73亿美元的损失,而这次攻击事件便是由黑客在初始交易发布之前向公共帐本提交代码更改进行的。

热门文章
风险提示:本站内的所有入驻广告、入驻分析师、入驻经纪商/金融机构或其他媒体平台互换资源,其所包含的内容均由第三方自主发布,与FW融语https://m.cjwzzx.com/完全无关。点击任意图片/文字广告按钮后将会离开FW融语财经网站,跳转后页面的所有信息均由第三方控制,与FW融语https://m.cjwzzx.com/完全无关。凡以任何方式登陆本网站或直接、间接使用本网站资料者,视为自愿接受本网站免责声明的约束。