墨客科普 | 交易所安全

2019-05-30 15:04:16 12

交易所是区块链产业链条中的重要一环,承载着活跃市场、促进流通的重要作用。但与普通的钱包相比,交易所尤其是中心化交易所的安全问题更加突出和严重。安全问题已经成为交易所关注的首要问题,甚至成为决定交易所存亡的关键。

blob.png

交易所安全问题更加突出、更容易遭受黑客攻击的主要原因:

1、 涉及资金量巨大,发起攻击的诱惑大

目前,中心化交易所在数字币交易领域占据主导地位,大量的数字资产向交易所集聚和沉淀。这使得交易所犹如黑暗中熊熊燃烧的火炬,吸引了攻击者的极大注意力。与普通用户钱包中的三瓜俩枣相比,交易所中积聚的海量资金使其成为了攻击者的首要选择。试想一下,一旦攻击成功,收益之大难以想象,攻击者几乎可以为此付出任何代价,超高的收益比什么都有诱惑力。


2、涉及环节众多,可选择的攻击点多

交易所作为一个资产频繁转移和高速流动的场所,资产的流转过程绝非平静,而是充满风险,明抢暗夺的故事每天都在发生。从用户把资产存储在交易所开始,就面临各种各样的风险。包括假冒网站的钓鱼攻击,资产存提阶段的地址冒充和劫持、金额篡改,账户信息泄漏,交易所钱包被盗导致的连带风险等。可以说,从用户进入交易所到用户离开交易所,几乎每个环节都可能会遭遇黑客攻击,这使得交易所的整体安全风险急剧增加。


3、涉及人员众多,容易从薄弱点切入

普通用户的钱包一般而言只有一个人掌握,这个秘密可以被很容易地保护。而交易所作为一个组织机构,涉及人数和部门众多。英文中有句谚语,“A secret between more than two is no secret.”, 意思是:两人以上知道的秘密就不算秘密。非常形象地道出了交易所面临的安全困境。

黑客对交易所发起攻击,他可以下手的对象可不仅仅是一个人,各部门负责人、系统运维工程师、交易所中高层管理人员,甚至普通技术人员,都可以成为他的渗透和攻击对象。只要让他在某个环节中发现一丝漏洞,就有可能变成一扇洞开的大门。

这是一场不对称的战斗,防守方必须做到处处安全,而攻击方则只需要找到一处弱点。

交易所安全的重点环节:


1、防钓鱼网站和假冒客户端软件

交易所通过设定各种防伪措施,帮助用户识别真实网站和真实客户端软件,避免客户被诱骗。


2、基础设施的安全防护

包括主机(或者云主机)、域名、CDN等底层服务的安全,网络设备的安全,操作系统平台的安全,访问控制和权限管理,各种对外接口的安全管控等,这是交易所安全运行的基础。


3、用户身份的严格验证

这里的用户不限于真实个人,同时也包括通过api接口访问的机器设备等。需要采用合适的身份验证方案,包括但不限于生物识别、pin码、数字证书、硬件认证设备等,对用户身份进行全面、深入的验证,避免用户身份被冒用。


4、存币、提币、转币等敏感操作的安全审核

存币、提币、转币等操作直接涉及资产的转移,属于黑客最容易切入的攻击点,安全风险级别较高,因此应当进行足够的安全审核,排除可能存在的安全风险,确保资产安全。


5、敏感数据的严格保护

在交易所中,有很多数据需要得到保护,但其中有些数据格外敏感和重要,需要采取特别的措施进行重点保护,比如用户帐号库、钱包私钥等。切勿轻视,更不要有侥幸心理。


6、异常操作的感知和预警

交易所应当建立风险评估机制和安全态势感知系统,对操作的安全性进行实时监测和分析,当发现异常行为时,及时告警,有效提升交易所安全等级。


7、健全管理制度,增强员工尤其是高管的安全意识,杜绝社会工程攻击

社会工程攻击,是一种利用”社会工程学” 来实施的网络攻击行为。在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

blob.png

健全的管理制度是交易所安全体系的重中之重,怎么强调也不为过。因为所有的安全技术最终都要落实在人身上,技术系统要由人来部署、管理和维护,工作流程要由人来实施,各类资产要由人来管理。而对人的管理呢?现有条件中,唯有靠完善的管理制度,充分的安全培训,增强员工尤其是高管的安全意识,让人不敢、不愿、不能犯错,形成交易所安全管理的坚固基石。


对于中心化交易所的三点建议:


1、积极地迎接监管,而非拒绝监管。


外部监管有利于交易所自身机制的完善,对于交易所的健康发展有百利而无一害,每个希望长远发展的正规交易所都应当欢迎来自政府、社会等外部各方的监管。这也是数字交易所未来做到取信于用户、正规化发展的必然趋势。


2、健全内部管理机制,完善技术流程。


交易所通过自身的管理变革和技术升级,在管理制度和技术流程上,实现内部人员不敢、不愿、不能“监守自盗”,这是完全可能的。


3、引入可信第三方,进行安全审计。


实现公开、公正、公平的交易环境,前提是数据的透明性,如何打破交易所一手遮天的黑箱迷局?一个常用的做法是:通过引入可信第三方,对交易所的数据和操作日志等信息进行定时/不定时的安全审计,一方面让外部公众有充分的知情权,另一方面也可以帮助交易所及时发现内部的安全隐患。这种做法类似于上市公司的财务审计制度,通过引入可信第三方会计师事务所对公司财务状况的合理审计,达到取信于民、消除误解的目标。



去中心化交易所的优势

和中心化交易所相比,去中心化交易所不仅降低了来自内部的潜在威胁,同时外部安全水平也大增。

首先,很明显地,去中心化交易所的资金存储在用户每个人的钱包中,不存在中心化交易所那样的巨额资金池,因此也就不存在黑客们垂涎欲滴的大钱包,极大降低了黑客发起攻击的兴致,从根源上消除安全风险。

其次,去中心化交易所中交易透明度是中心化交易所无法比拟的,可以保障每笔交易都是真实交易,对于交易所和庄家们来说,做庄和控盘的难度增加了,但对韭菜们来说,也降低了被收割的风险。

最后,去中心化交易所基于区块链撮合交易机制,再辅以跨链技术,容易实现交易所之间的联合,实现客流的共享,同时通过自动撮合机制,可以极大地扩展交易空间,增加交易深度,提升成交率。基于去中心化交易所,有望真正实现价值在互联网上的无缝流转,即真正的价值互联网。

尽管目前来看中心化交易所由于较高的交易效率高和较低的学习门槛依然是用户数字交易的主流,但是去中心化交易所却拥有更旺盛的生命力,拥有更广阔的发展空间和应用场景。

blob.png

在价值互联网的时代,一切都是交易,交易提供一切。交易所基于自身优势,必将继续作为交易发生的主要场所之一。而且交易所将自然而然地成为未来价值互联网的核心基础设施之一,扮演极其重要的角色。

届时,交易所的重要使命是实现价值的无缝流转,特别是价值在网络上的无障碍交换、转移、流通。交易所的具体形态可能会发生巨大的变化,现有的中心化交易所将远远不能满足未来价值交换和流转的需求。未来的交易将是无处不在、无远弗届的,因此交易所也必然是无孔不入、触手可及的。对照这一需求,去中心化交易所的系统架构和交易场景更加符合未来人们的期望,因此将具有更加旺盛的生命力。这也是为什么我们更加看好去中心化交易所的原因之一。

与传统的信息互联网相比,价值互联网更加需要安全保护,对安全的需求也更高。随着交易成为硬需求,交易所也将成为人类社会的核心基础设施,他将承载着人类社会正常运行的重任,对交易所的安全防护,在某种意义上将成为保护人类社会正常运转的客观需求。

每一次的价值流传和交换,都可能成为黑客的攻击目标,笼罩着黑色的阴影。与之相应地,对安全防护工作的需求,也必将迎来大爆发,与交易所未来发展形态相适应。安全防护工作将与交易行为如影随形,哪里有交易,哪里就有安全需求,哪里就有安全防护工作的身影。

(转自墨客区块链)

电话咨询
社区服务
产品展示