云安全聯盟：數字貨幣交易所Top 10安全風險（21頁）.pdf

《云安全聯盟：數字貨幣交易所Top 10安全風險（21頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟：數字貨幣交易所Top 10安全風險（21頁）.pdf（21頁珍藏版）》請在三個皮匠報告上搜索。

1、最常見的加強 API 安全性的方法：（1）使用令牌。建立可信的身份，再通過使用分配給這些身份的令牌來控制對服務和資源的訪問。（2）使用加密和簽名。通過 TLS， XML Encryption， 零知識證明等方法加密數據。要求使用數字簽名，確保只有擁有權限的用戶才能解密和修改數據。（3）識別漏洞。確保操作系統、網絡、驅動程序和 API 組件保持最新狀態。了解如何全面實現協同工作，識別會被用于侵入 API 的薄弱之處。利用持續監控來檢測安全問題并跟蹤數據泄露。（4）使用配額和限流。對 API 的調用頻率設置限額，并跟蹤其使用記錄。如果 API調用數量增多，表明它可能正被濫用，也可能是編程出了錯，例

2、如在無限循環中調用 API。指定限流規則，防止 API 出現調用激增和拒絕服務攻擊。（5）使用 API 安全網關。API 安全網關擔當 API 流量策略執行點。好的網關既能幫助驗證流量的使用者身份，也能控制和分析 API 使用情況。如果交易所服務器是部署在云上的，大部分頭部的云服務提供商都有 API 安全網關解決方案或者第三方的 MarketPlace 上可以找到的 API 安全服務網關。（6）交易所對 API 使用應加上 IP 限制，并識別同一 IP 使用多個 API 可能存在黑客風險，要特別注意防止重放攻擊，關鍵 API 不允許重復提交調用。針對使用合約進行 ETH 充值時，需要判斷內聯交

3、易中是否有 revert 的交易，如果存在 revert 的交易，則拒絕入賬。針對使用合約進行 ETH 充值時，需要判斷內聯交易中是否有 Out of gas 的交易，如果存在 Out of gas 的交易，則拒絕入賬。針對使用合約進行 ETH 充值時，需要判斷內聯交易中是否有 Error 字段的交易，如果存在 Error字段的交易，則拒絕入賬。采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。針對使用合約進行 ETH 假充值時，除了 revert 和 Out of gas 的手法外，不排除未來有新的手法，安全團隊需要持續保持關注和研究。交易所熱錢包存儲過多資金，成為黑客目標，這個風險與交易所熱錢包有關的 IT系統的漏洞、采用不安全的存儲方式對私鑰進行存儲、安全意識較低有關。黑客采用包括但不限于以下的方式進行攻擊：惡意鏈接釣魚收集用戶信息。黑客投放惡意鏈接引導用戶點擊，借此收集用戶的登陸憑據。數據庫被攻擊導致私鑰泄露。交易所數據庫中存放其熱錢包私鑰，黑客對數據庫進行攻擊，獲取到數據庫數據后通過數據庫存放的私鑰進行轉賬。IT 系統漏洞。交易所自身系統存在漏洞，黑客通過其自由漏洞獲取 IT 系統控制權后，直接通過 IT 系統進行轉賬。員工監守自盜 。前雇員在離職后通過在職時留下的后門進行資產轉移。