文章来源 | 100BLOCK
文章作者 | 张阿梅

张亮,拥有多年信息安全领域从业经验,专注网络安全、互联网安全、云安全、区块链安全领域,深挖各行业的安全场景,致力于提供最优的解决方案帮助用户解决严峻的安全隐患。曾为国家开发投资集团有限公司、中国科协、教育部、文化部、北京比特大陆科技有限公司、北京火币天下网络技术有限公司等各行业客户提供安全解决方案,具备丰富的项目实战经验。

问题一:开门见山,请问张总交易所常见的安全风险都有哪些?

张亮:第一类风险为可用性风险。攻击者通过 DDoS 攻击、CC 攻击、跨站脚本攻击等方式,降低数字货币交易平台的可用性,使平台在一定时间内无法向用户提供数字货币交易服务,从而影响数字货币交易平台的正常运营。

其次为黑客入侵风险:攻击者通过漏洞利用、端口扫描等手段,探测平台安全隐患,寻找入侵机会,窃取账户信息、数字货币等,直接造成用户利益受损。

智能合约风险:智能合约一经发布,所有人可见,并且无法修改,所以已发布的智能合约一旦发现了重大安全漏洞,将严重影响整个项目,甚至导致项目失败。

薅羊毛风险:在推广阶段攻击者及黑产通过「猫池」、「接码平台」批量的注册账号,并利用这些账号在应用平台或项目方的各个渠道中「抢糖果」使应用平台及项目方用于推广获客的资金「打水漂」。智能合约的安全漏洞,一旦可以超发,大金额流通也会蒸发,这个时候需要及时的锁仓、停止交易,并通过代币兑换的方式上线新合约,对已发的 token 进行替换,止损。

钓鱼网站安全风险:恶意黑客通过钓鱼网站、钓鱼邮件、密码暴力破解等方式尝试获取用户的账号和密码,并通过收集到的账号密码盗取用户在应用平台中的数字货币或通过短时间用高价值的数字货币买入低价值的数字货币,利用数字货币交易平台的价格差甚至数字货币期货套现,非法获利。而普通用户普遍难以意识到钓鱼网站、钓鱼邮件带来的安全威胁,一旦访问到钓鱼网站受骗,往往会在舆论上对正常的应用平台进行谴责,对应用平台的良好信誉带来巨大的损失。

内网安全风险:由于区块链行业的快速发展,项目方均在同时间赛跑,务求用最短的时间让公链、平台、项目上线运营,从而忽视了员工信息安全意识培养及内部办公环境中存在的安全隐患。

根据知道创宇威胁及敏感信息泄漏监测中心的观察和统计,在 GitHub、GitLab、CSDN 等国际知名的开发者网站及平台上,大量项目方的核心源码及账户名和密码存在敏感信息泄漏的情况,攻击者可以利用这些账号密码对办公环境进行内网渗透。在安全防护较薄弱的办公设备及服务器上面部署恶意代码程序,并潜伏,等待时机发起「致命一击」。

问题二:那针对以上安全风险,交易所可以采取哪些措施进行有效应对?

张亮:首先针对可用性风险,交易所可以使用云抗 D 服务进行应对,有效防御 DDos 攻击、CC 攻击。针对黑客入侵,可以采取主动漏洞挖掘和 web 应用层攻击防护的方式进行防御。云 WAF (web 应用防火墙)可以防御包括 SQL 注入、XSS 跨站攻击、CRSF 跨站请求伪造、Webshell 文件上传、恶意采集及利于 Web 漏洞进行的各类攻击,有效防御黑客入侵。

采用第三方安全公司的渗透测试服务可以先于黑客找到自身存在的漏洞,及时整改加固,增强自身安全性。智能合约问题同样可以采购第三方安全公司的智能合约审计服务,对智能合约源码中的隐私泄漏、交易溢出与异常、代币转入转出风险、合约故障、拒绝服务等问题进行深度源码审计,在项目上线前尽可能多的暴露和解决问题,确保项目顺利执行。

针对羊毛党可以采购反欺诈服务,通过风控模型能够准确识别羊毛号、黑产小号等,降低黑产通过该种手段造成的刷糖果币、抢优惠、骗奖励的行为,使交易所和项目真正达到宣传、推广的效果。

针对内网安全问题在可以在办公环境内部署多个即插即用的「诱骗终端」,部署到不同的业务网络中,终端之间相互通信,达到高度伪装。利用「敏感信息」诱导黑客攻击,记录攻击过程,并通过微信、邮件等方式发出预警。

群友哈迪斯:不通过安全审计,通过代币激励内测邀请安全人士共同反馈问题,这种手段有效吗?

张亮:激励的尺度大小直接影响了参与测试的人员技术水平,进而会影响测试质量。

问题三:刚刚看您提到云防火墙,交易所在选择云服务厂家时,应该注重哪些点?

张亮不仅仅是云 WAF,还有云抗 D,在选择厂商时我建议关注以下几点:首先服务商要有交易所行业案例;其次,尽量选择知名度高、市场占有率高、产品和服务相对成熟的厂商。针对抗 DDos 攻击,要选择带宽储备充足、抗 CC 攻击能力突出的服务商(因为现在很多攻击都是混合型),最后要选择注重服务的厂商,应急响应一定要及时。出现攻击及时对接,不走工单。

问题四:交易所渗透测试的流程是什么样的?测试内容都有哪些?

张亮:知道创宇在做渗透测试的时候首先会收集交易所的信息,包括域名,交易所业务情况(数字货币交易、法币交易、充值、提币等)、后台管理系统、钱包信息等;其次,开展渗透测试,对交易所网站、后台管理系统、APP 以及承载相关业务的基础环境进行渗透测试;最后是编写报告并交付。

从测试重点角度,交易所渗透测试一方面是检测是否存在安全漏洞(如 SQL 注入、XSS 跨站),更重要的是检测交易所及钱包的越权操作、信息泄露的问题,避免出现用户信息泄露、异常操作的问题。

**问题五:多次有人提到以太坊的智能合约问题,认为其灵活性带来了巨大安全漏洞?您是怎么看待的?

张亮:以太坊智能合约的灵活性带来了很大的安全问题,但不能否定它的可用性,就像微软系统一样,也存在很多的漏洞,我们不也一样在使用么,每个系统都不是完美的,都会存在缺陷,所以我们在使用的时候就要尽量的通过技术手段规避这些漏洞,尽可能的做到安全,这也是为什么我们设计好智能合约以后,还要找专业的安全机构做审计的原因。

问题六:如果不做智能合约审计对交易所有什么影响?

张亮:如果智能合约未经审计直接上线交易所,智能合约中如果存在重大安全隐患,一旦爆发,将导致项目直接失败,对交易所的声誉造成巨大影响,由于项目失败也必将对交易所中该代币进行冻结、下线等一系列相关措施,影响交易所的正常运转。

问题七:智能合约审计都涵盖了哪些内容?整个审计周期大概是多久?

张亮:知道创宇的智能合约审计服务包括了重入漏洞、访问控制、整数溢出、未检查返回值调用、拒绝服务、错误使用随机数、事物顺序依赖性、时间戳依赖、短地址攻击等内容。审计周期在 1 到 3 天,如果紧急可以做加急处理。

群友哈迪斯:张总这边流程完善,经验丰富,我比较好奇之前有成功预防过什么典例型漏洞?怎么快速解决的?

张亮:我们的一些智能合约审计项目确实发现过一些问题,在报告中会给出我们的整改建议,协助进行整改。

问题八用户合约审计只想针对整数溢出问题进行审计,这样审计行不行,对价格有没有影响?

张亮:智能合约审计,不管做哪个检查,都是要把所有合约代码审一遍,所以仅检查一项,和检查所有项,价格几乎一样。知道创宇要出智能合约审计报告就需要针对每一项都进行检测,也是对上币方负责。

问题九:已经发布的智能合约可以做审计吗?

张亮:智能合约具有不可逆的特性,一旦上线不易修改,上线后的智能合约可以通过审计服务,检测是否存在安全隐患,如果存在,需要及时进行下线或者应急处置。已经发布的智能合约可以做审计,现在很多大的交易所都在对之前上币没有做过审计的上币项目做复审。

**问题十:我们都知道在线钱包被盗事件很多,那么在线钱包怎么保证安全?

张亮:在线钱包基本都是通过网页的形式来进行访问,主要威胁有跨站脚本攻击,账号被暴力破解和利用,以及交易记录和余额信息不被篡改;这些问题是可以用知道创宇的 Web 应用级防火墙做安全防护,通过渗透测试做主动漏洞挖掘。主动挖掘漏洞和被动防御相结合,防护效果更好。

问题十一:如果钱包地址暴露在公网,有什么风险?

张亮:钱包地址暴露在公网后,所有人均可以通过查询 searchain.io,就可以知道钱包内有多少 token,价值多少钱,历史转账信息,通过哪个交易所开过户等用户隐私信息。

来源链接:mp.weixin.qq.com