屢遭駭客攻擊後,54%加密貨幣交易所仍有安全漏洞

瀏覽數

99+

金色財經 比特幣10月21日訊 儘管最近八年時間因黑客入侵導致加密貨幣交易所資金被盜的損失已經高達13億美元,但係統安全問題依然沒有引起交易平台的重視。 ICO Rating最近對100家加密貨幣交易所進行了評估分析,所有這些交易所的24小時交易額均超過了100萬美元。根據該公司發布的加密貨幣行業研究報告,只有46%的交易所的安全參數指標符合要求,其餘54%的加密貨幣交易所都沒有執行標準的安全措施。

屡遭黑客攻击仍不反思 54%加密货币交易所存在安全漏洞

ICO Rating從控制台錯誤、用戶賬號安全、註冊管理和域名安全和Web協議安全四個角度對加密貨幣交易所安全性進行了評估,具體分析結果如下:
 
一、控制台錯誤
加密貨幣交易所出現問題其實並不總是因為黑客惡意攻擊造成的,比如控制台錯誤就會導致數據丟失,而這個問題則是由於開發人員編程漏洞引發。根據ICO Rating的調研分析報告披露的數據,目前32%的加密貨幣交易所存在導致運營故障的編程錯誤。
 
二、用戶賬號安全
為了評估各家加密貨幣交易所用戶賬號安全,研究人員在每家交易所創建了一個獨立賬號,以此檢查交易平台對密碼安全性的要求,以及是否需要電子郵件和雙因素認證(2FA)驗證。結果發現只有41%的加密貨幣交易所允許創建長度小於8個字符的密碼,因此被認為安全性較低;37%的加密貨幣交易所允許用戶僅使用數字、或是僅使用字母創建密碼,而不需要必須使用字母和數字組合進行密碼設;5%的加密貨幣加密貨幣竟然允許用戶在無需電子郵件驗證的情況下創建賬戶;3%的加密貨幣交易所缺少雙因素身份驗證(2FA)措施,用戶僅需通過單獨設備即可確認登陸。
 
三、註冊管理和域名安全
研究人員使用了Cloundflare工具來識別域名和註冊管理安全漏洞,同時還考慮了很多其他因素,比如加密貨幣交易所是否採取註冊表鎖定措施,防止任何使用註冊表進行外部通訊的惡意用戶更改域名;或者,加密貨幣交易所是否通過加強安全措施(比如在進行域名訪問的時候不僅僅需要一個授權代碼)來防止發生域名劫持問題;以及是否使用了角色賬戶來保護敏感域名信息不被洩露。
 
研究人員建議可以給域名有效期設定一個六個月的時間限制,這樣可以解決域名所有權並發問題。不僅如此,研究人員還建議使用DNS安全擴展(DNSSEC)對所有使用加密簽名的DNS查詢進行身份驗證,防止緩存中毒。 DNS安全擴展是由IETF提供的一系列DNS安全認證的機制,它提供了一種來源鑑定和數據完整性的擴展,但不去保障可用性、加密性、或是證實域名不存在。
 
研究人員發現,雖然沒有加密貨幣交易所完全忽略實施註冊管理和域名安全措施,但是只有4%的加密貨幣交易所滿足全部註冊管理和域名安全保護措施要求;只有2%的加密貨幣交易所採取了註冊表鎖定措施;只有10%的加密貨幣交易所使用了DNS安全擴展。
 
四、Web協議安全
ICO Rating研究人員使用了HT Bridge的WebSec工具來檢查加密貨幣交易所Web協議的安全級別,並且監測了URL中的HTTPS標頭、X-SXX保護標頭、內容安全策略標頭、x-frame- options標頭和x-content-type標頭。結果發現只有10%的加密貨幣交易所網站使用了全部五個Web協議標頭;只有17%的加密貨幣交易所網站使用了內容安全策略標頭;只有29%的加密貨幣交易所網站使用了上述提及的一種Web協議標頭。

Ar8cUydLLAncu7k1Fdm8xLJQKRPiVb6Fc1R7g6Qi.png

最後,ICO Rating按照安全級別順序對100家加密貨幣交易所進行了排名,其中最安全的加密貨幣交易所是Coinbase Pro,Kraken緊隨其後,前五名中的另外三家加密貨幣交易所分別是BitMEX、GOPAX和CDPAX。
 
文章翻自ccn
來源:金色財經

熱門搜尋關鍵字: