当前位置 主页 > 行业资讯 >

加密货币交易存在安全漏洞 被盗损失金额已达13亿美元

栏目:行业资讯 时间:2018-11-02 13:29

  金色财经比特币10月21日讯尽管近八年由于黑客入侵导致加密货币交易所资金被盗的损失金额已经高达13亿美元,但仍有很多加密货币交易所没有认真对待安全问题。ICORating最近对100家加密货币交易所进行了评估分析,所有这些交易所的24小时交易额均超过了100万美元。根据该公司发布的加密货币行业研究报告,只有46%的交易所的安全参数指标符合要求,其余54%的加密货币交易所都没有执行标准的安全措施。
  ICORating从控制台错误、用户账号安全、注册管理和域名安全和Web协议安全四个角度对加密货币交易所安全性进行了评估,具体分析结果如下:
 
  一、控制台错误
 
  加密货币交易所出现问题其实并不总是因为黑客恶意攻击造成的,比如控制台错误就会导致数据丢失,而这个问题则是由于开发人员编程漏洞引发。根据ICORating的调研分析报告披露的数据,目前32%的加密货币交易所存在导致运营故障的编程错误。
 
  二、用户账号安全
 
  为了评估各家加密货币交易所用户账号安全,研究人员在每家交易所创建了一个独立账号,以此检查交易平台对密码安全性的要求,以及是否需要电子邮件和双因素认证(2FA)验证。结果发现只有41%的加密货币交易所允许创建长度小于8个字符的密码,因此被认为安全性较低;37%的加密货币交易所允许用户仅使用数字、或是仅使用字母创建密码,而不需要必须使用字母和数字组合进行密码设;5%的加密货币加密货币竟然允许用户在无需电子邮件验证的情况下创建账户;3%的加密货币交易所缺少双因素身份验证(2FA)措施,用户仅需通过单独设备即可确认登陆。
 
  三、注册管理和域名安全
 
  研究人员使用了Cloundflare工具来识别域名和注册管理安全漏洞,同时还考虑了很多其他因素,比如加密货币交易所是否采取注册表锁定措施,防止任何使用注册表进行外部通讯的恶意用户更改域名;或者,加密货币交易所是否通过加强安全措施(比如在进行域名访问的时候不仅仅需要一个授权代码)来防止发生域名劫持问题;以及是否使用了角色账户来保护敏感域名信息不被泄露。
 
  研究人员建议可以给域名有效期设定一个六个月的时间限制,这样可以解决域名所有权并发问题。不仅如此,研究人员还建议使用DNS安全扩展(DNSSEC)对所有使用加密签名的DNS查询进行身份验证,防止缓存中毒。DNS安全扩展是由IETF提供的一系列DNS安全认证的机制,它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性、或是证实域名不存在。
 
  研究人员发现,虽然没有加密货币交易所完全忽略实施注册管理和域名安全措施,但是只有4%的加密货币交易所满足全部注册管理和域名安全保护措施要求;只有2%的加密货币交易所采取了注册表锁定措施;只有10%的加密货币交易所使用了DNS安全扩展。
 
  四、Web协议安全
 
  ICORating研究人员使用了HTBridge的WebSec工具来检查加密货币交易所Web协议的安全级别,并且监测了URL中的HTTPS标头、X-SXX保护标头、内容安全策略标头、x-frame-options标头和x-content-type标头。结果发现只有10%的加密货币交易所网站使用了全部五个Web协议标头;只有17%的加密货币交易所网站使用了内容安全策略标头;只有29%的加密货币交易所网站使用了上述提及的一种Web协议标头。
  最后,ICORating按照安全级别顺序对100家加密货币交易所进行了排名,其中最安全的加密货币交易所是CoinbasePro,Kraken紧随其后,前五名中的另外三家加密货币交易所分别是BitMEX、GOPAX和CDPAX。
原文链接:https://news.fx168.com/blockchain/1810/2714420.shtml
缩小 缩小 缩小 缩小
IIS7整站下载工具 IIS7批量查询排名 IIS7远程桌面连接工具 iis7-iis网站批量管理 iis7批量替换工具 IIS7服务器专用下载工具 IIS7日志分析工具 IIS7批量PING,服务器批量添加网卡IP小工具 IIS7远程同步备份工具
IIS7网站监控 站群批量SEO查询 批量获取排名域名 批量关键词排名查询 模拟各种蜘蛛 批量友情链接监测 批量检测死链 搜索引擎大全 批量查询外链
批量查询网站标题 批量查询KeyWords 批量查询描述 批量查询网站IP 批量百度收录查询 批量查询百度日收录 批量查询百度周收录 批量查询百度月收录 批量查询360总收录 批量查询360日收录 批量查询网站年龄 批量查询360PC权重 批量查询爱站移动权重 批量查询站长移动权重 批量查询360移动权重 批量查询神马权重 批量查询谷歌PR 批量查询搜狗PR 批量查询百度反链 批量查询爱站首页反链 批量查询爱站内页反链 批量查询百度快照 批量查询搜狗快照 批量icp备案查询 批量网站ip地址查询 批量查询导出链接 批量查询百度V认证 批量查询百度安全 批量查询站长PC权重 批量查询爱站PC权重 批量查询搜狗总收录 站长资源大全 IIS7-cms大全 IIS7站群大全 IIS7虚拟空间大全 IIS7服务器大全 IIS7-VPS大全 服务器代购 站群专用 美国站群服务器 香港站群服务器 特供站群vps 亚洲服务器 菲律宾HS 韩国首尔 香港PCCW 香港沙田电信 香港PowerLine 日本多机房 新加坡多机房 韩国大带宽 香港新世界 香港Pangnet 台湾 美国服务器 加州RS 美国vps母鸡租用 洛杉矶MC 洛杉矶C3 特价促销区 洛杉矶NS 洛杉矶Cera高防 洛杉矶HS高防 SK高防 洛杉矶WX 加州RH 芝加哥AT VPS云主机 香港沙田电信 韩国首尔 香港Pangnet 新加坡SG 香港PL 洛杉矶SK 抗攻击 洛杉矶C3 日本大阪 洛杉矶Cera 抗攻击 洛杉矶MC 纽约 SSD 抗攻击 大容量备份VPS 国庆大促 俄罗斯