又双叒叕被盗？！交易所安全问题千千万，关键要看这两条

近期多家数字货币交易所被黑客攻击并发生盗币事件，北京链安针对近期一系列交易所安全事件为您做如下剖析。

3 月 14 日

某知名交易所被撞库，用户资金损失。

3月24日

Etbox平台钱包受黑客入侵，导致平台数字资产被盗，目前已追回部分资产，现已修复漏洞，并处理所有用户的提现。

3 月 25 日

DragonEx 平台钱包遭受黑客入侵，导致用户和平台的数字资产被盗，DragonEx 平台多种币种被盗，损失极为严重。

3 月 26 日

BiKi 宣布被盗，据 BiKi 的公告，今凌晨 0:00-7:30 期间，平台内部分用户的账号被修改密码，平台已经停止一切提现和场外交易，初步排查结果是验证码被黑客劫持。

3 月 28 日

某交易所宣布维护，但被质疑遭受攻击，数字资产已经被黑客转移，后交易所官方表示只是官方钱包调整维护，交易所没有出现安全问题。

从目前披露的几起交易所安全事件的细节来看，攻击案例中的安全问题主要分为两种。

1、交易所用户端安全问题

主要集中在以下几点：

交易所的用户可以被页面钓鱼欺骗。

由于交易所登录、找回密码、二次验证或者提币流程设计存在逻辑安全问题，发生验证码劫持或者撞库攻击，从而导致单个或者批量用户的资金损失。

交易所风控系统薄弱，非法用户登录或者提币不会触发风控预警，从而造成用户资金损失。

2、平台自身安全问题

交易所平台生产环境的服务器被黑客使用0day或者nday攻破拿到服务器权限。

交易所关联工作人员和密钥管理人员被APT定向渗透攻击。

DragonEx遭到的攻击便被怀疑是因为工作人员使用带有后门的软件，被黑客获得高等级权限获得密钥所致。

接下来，我们再对这两大安全问题做进一步剖析：

从交易所用户端的安全问题来看集中在用户端的安全问题主要是页面劫持、钓鱼欺骗和交易所登录、找回密码、二次验证或者提币流程设计存在逻辑安全问题。黑客可以通过撞库和利用逻辑漏洞从而对用户资金产生危害。

其中页面劫持、钓鱼欺骗需要交易所对自己的用户群体做日常的安全引导和教育。

交易所登录、找回密码、二次验证或者提币流程设计存在的逻辑安全问题，属于流程设计上的逻辑安全问题。需要交易所自行审核或者找第三方安全公司协助审核自己在用户登录验证、密码找回以及二次验证逻辑方面是否存在安全隐患。而撞库是目前所有基于用户密码体系认证的网站都会面临的一个问题。

可以看到早在2015年互联网上泄漏的可供撞库使用的数据就已经达到了21亿条，其中大部分密码以明文或者MD5值的形式存在，而很多密码简单的MD5可以通过网站批量接口去查询，有很大几率被还原成明文。交易所有必要找第三方安全公司协同排查自己的注册用户是否被包含在这些可被撞库的信息当中。

针对用户端的安全，主要包括登录和提币过程，交易所必须进行严格的风控策略，一旦触发风控策略必须要阻断用户的登录或者提币并对用户绑定的手机号进行短信预警提醒，等用户再次确认为本人操作后，才能放行。

而从平台自身安全问题来看，交易所平台生产环境的服务器被黑客使用0day或者nday攻破拿到服务器权限。

目前来看本次发生的一系列攻击事件并不是该种原因导致。但是交易所的安全运维人员还是要注意及时接收第三方安全公司的威胁情报和应急预警，及时升级并更新自己的服务器。

而交易所关联工作人员和密钥管理人员被APT定向渗透攻击也是一个新的安全隐患，如果交易所办公环境和生产环境未做网段安全隔离，或者密钥掌握在单个管理者的电脑中，密钥关联人员被黑客APT攻击。黑客会通过渗透、社会工程学、钓鱼邮件等手段攻破公司的单台或者多台个人电脑，从而对公司内网进行渗透，可能直接获取加密货币的私钥或者是服务器敏感信息，从而对交易所平台造成了大量的资金损失。

针对该种攻击，交易所需要合理规划自己的网络，并定期请第三方安全公司对自己的技术员工和私钥关联人员进行安全培训。对大量资金应进行多签和冷钱包保存。

在近期安全事件发生后，我们也注意到，最终被盗数字货币去向成了一个重要的事后措施。尽管黑客依然可以通过线下交易方式销账，但是交易所间的协同联防机制依然会提高黑客销账成本，一定程度上阻碍一些个人小规模的黑客攻击行为。

在安全防范上，我们建议各大交易所、数字资产资管机构、数字资产托管机构，以及涉及大宗数字货币存放、操作的机构都及时联系第三方安全公司进行排查确认。

就撞库攻击而言，通过成熟的撞库测试方案，可以实时发现网站登录请求流量中利用已经泄露的用户名密码库进行的撞库攻击行为，防止用户身份被盗和被利用，针对交易所的用户登录和提币行为提供有成熟的风控解决方案，可以实时发现并阻断非法用户的登录和提币行为并进行告警。

而在APT防护领域，由于APT攻击较为隐蔽和难以发现，建议交易所对此接受专门的流程和技术培训，优化内部风控。而为了免受一些带有木马的PC、手机App攻击，也建议内网使用相关应用的时候，首先提交给C端检测机构进行深度安全检查，及时发现安全隐患。

（作者：北京链安，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）