近期,数字货币交易所安全事件频发。2018年01月日本Coincheck交易所受到黑客攻击被盗取NEM新经币损失约5.34亿美元;2018年02月基于以太坊的XMRG代币的交易价格上涨787%后迅速暴跌归零,造成大量用户经济损失,背后原因在于其智能合约代码存在整数溢出漏洞,超额铸币后抛售造成恶性通胀;2018年03月Binance交易所,黑客利用盗取的用户信息进行大量交易操纵市场行情获利超过1亿美元。2018年04月基于以太坊的BEC币和SMT币先后因智能合约存在溢出漏洞造成天量袋币转出,引发恐慌抛售,导致市值几近归零……这样的案例数不胜数。
首要存在两方面的原因,一方面,传统金融机构所保有的资产,无论是数字化的(相对于实体化的纸币和硬币)法定货*/币,仍是证券凭证,遍及都是记名的,其流转进程有迹可循,并且接受监管,要完结难以寻找的转移效果,本钱高难度大。另一方面,传统金融职业的数字化前史现已良久,无论是人才贮藏,技术堆集,原则规范都现已很老练,单就信息安全方面的缔造水平也相对很高了,要从技术上完结成功侵入盗走资产并逃脱追捕这一系列进程难度非常大。
区块链行业面临的安全威胁
平台可用性防护
通过DDoS攻击、CC攻击、跨站脚本攻击等方式,降低平台的可用性,使平台在一定时间内无法向用户提供服务。
智能合约风险
智能合约一经发布,无法修改,已发布的智能合约一旦发现重大安全漏洞,将严重影响整个项目,甚至导致项目失败。
平台业务安全风险
利用平台的系统漏洞、源代码漏洞、业务逻辑漏洞等,通过社工、跨站脚本、恶意扫描等方式进行攻击。
算力安全威胁
通过挪用设备、篡改配置、物理劫持、系统漏洞入侵等方式,占用甚至破坏算力设备的计算能力,导致设备无法正常提供服务。
行业+区块链业务特点
去中心化
因为它是分布式存储的,所以不存在中心点,也可以说各个节点都是中心点,生活中应用就是不需要第三方系统了(银行、支付宝、房产中介等都属于第三方)。
开放性
区块链的系统数据是公开透明的,每个人都可以参与进来,比如租房子,你可以知道这个房子以前的出租信息,有没出现过问题,当然这里头的一些个人私有信息是加密的。
自治性
区块链采用基于协商一致的规范和协议(比如一套公开透明的算法),然后各个节点就按照这个规范来操作,这样就是所有的东西都有机器完成,就没有人情成分。
信息不可篡改
如果信息存储到区块链中就被永久保存,是没办法去改变,至于 51% 攻击,基本不可能实现。
匿名性
区块链上面没有个人的信息,因为这些都是加密的,是一堆数字字母组成的字符串,这样就不会出现你的各种身份证信息、电话号码被倒卖的现.
自2013年以来,全球连续发作数十起数字钱银买卖渠道遭黑客进犯、账号被盗事情。轻则损失价值不菲的数字钱银,重则导致买卖渠道直接关闭。依据币安布告以及既往数字钱银渠道遭进犯的案例剖析,数字钱银买卖渠道可以总结为以下安全问题:数字钱银体系买卖渠道区块链技能研制
1、账户维护体系弱:仅靠暗码/密钥的用户辨认机制,无法应对黑产经过垂钓网站、终端逆向破解、网站挂马、木马、社工欺诈、撞库等手法进行的盗号,导致黑客可转移渠道财物、对用户账户提币等;
2、渠道存在事务缝隙:渠道的体系、外部事务接口甚至后台办理体系等难免会存在事务安全缝隙,导致黑客可使用来施行非法操作,比方卖出用户财物、盗取用户要害数据;
3、缺少智能风控的防护:因为未装备要害环节的风控辨认技能,导致渠道的非法买卖、非法操作等行为不可以被及时发现。
数字钱银买卖渠道效劳器的安全防护战略
体系安全与网络安全的必要性
数字钱银各类买卖体系,可针对市面上不同的问题给出不同的解决计划,相同在体系的开发,代码的优化,体系上线前的各种测验也会每一过程的把关。
1、散布式的办理与操控:散布式数据库体系的结构更适合具有地理散布特性的安排或组织运用,允许散布在不同区域、不同等级的各个部门对其本身的数据实施部分操控。
2、灵活的体系结构:散布式DBMS可以规划成具有不同程度的自治性,从具有充沛的场所自治到几乎是完全集中式的操控。
3、体系架构,牢靠性高,可用性好:因为数据散布在多个场所并有许多仿制数据,在单个场所或单个通信链路发作毛病时,不致于导致整个体系的溃散,并且体系的部分毛病不会引起全局失控。
4、可扩展性好,易于集成现有体系,也易于扩大:自主研制促成体系,作用为保证其安稳,高效,准确,快速、后台支撑权限分配、报表数据实时计算、丰厚的后台办理、功用定制。
相同还有外部防护:
1、侵略防护功用:经过模仿黑客进犯行为,使用强大的算法辨认手法,在黑客进犯买卖渠道时便完成侵略防护,阻断全部黑客进犯行为,维护买卖渠道内海量的数据和信息;
2、DDOS防护体系:针对大流量DDoS进犯而导致的效劳不可用,拟定多重防护计划,保证买卖渠道安稳牢靠;
3、安全巡检防护功用:使用大数据态势感知,能定时对网站日志等海量数据进行相关剖析,结合网站本身状况,准确定位网站问题,开掘网站缝隙和缺点,修正效劳器缝隙,给用户发送安全情报,随时随地应对未知要挟。
智能风控的重要性
一个好的危险防护渠道应该具有智能基因,如毫秒级的危险决议计划、实时产出处置成果等等。如依据设备指纹、IP、账号、地域、时刻序列等多维度参数,剖析并开掘拜访者的行为特征和相关联系,对外部拜访的各类恳求进行实时危险辨认,立体判别是黑产要挟仍是正常用户。
而智能的剖析渠道可以供给灵活的离线数据剖析,可进一步从历史数据中开掘用户的正常行为特征及模型,并将开掘的黑白数据及模型布置到上述决议计划引擎上,快速对后续拜访进行更有用的异常发现,然后形成了具有攻防升级才能的智能风控闭环。信任这样的渠道可以有用维护数字钱银买卖场所的安全,然后为用户护住钱包