一、一些与数字货币交易平台相关的安全事件

一、一些与数字货币交易平台相关的安全事件

近期，数字货币交易所安全事件频发。 2018年1月，日本Coincheck交易所被黑，NEM币被盗，损失约34亿美元； 2018 年 2 月，基于以太坊的 XMRG 代币交易价格上涨了 787%，然后迅速暴跌。零，给用户造成大量经济损失。其背后的原因是其智能合约代码中存在整数溢出漏洞。铸造多余的硬币后，抛售会导致恶性通货膨胀。超过1亿美元的利润。 2018年4月，基于以太坊的BEC代币和SMT代币，由于智能合约的溢出漏洞，先后导致大量代币被转出，引发恐慌性抛售，导致市值几乎归零。 .这样的事例数不胜数。

通过这些观察，作者发现了两个现象：一是事件发生的频率非常频繁。要知道，这只是近期影响比较大的事件列表。如果将时间范围扩大，或者可能存在的影响较小而被掩盖的事件数量会更多；其次，平台或用户的损失是巨大的，往往是数千万甚至数亿美元。

其实从这些事件记录中可以得到更多的信息，接下来会进行分析。

2018年3月上旬，著名数字货币交易平台币安发生大量异常交易，进而影响整个数字货币市场的交易状况。这个活动的操作很有意思，后面我会再讲。在这里我想说的是，事件发生后，有人发帖指责该事件是由币安官员指挥和执行的。事件的真相是什么？作者不打算在这里讨论。这是何毅的文章中的一句话：“出现这种安全问题几乎是不可避免的。任何形式的交易所每天都会受到攻击。一方面，政策空间的狭窄使得币圈无法复制传统的兑换制度。另一方面，虚拟货币交易所问世才几年，无论是风控还是技术积累，都需要一个成长的过程。”

你同意吗？论证是善意的事，作者主要关心的是它的思路。在此声明中，将数字货币交易平台与传统金融交易平台进行了比较。本文将采用同样的思路进行讲解。

二、黑客为什么要攻击数字货币交易所？

从逻辑上讲，任何主观行为都是有目的的。黑客的目的是炫耀技术或表达政治诉求，但最大的比例是获取经济利益。返回。

在现实生活中安币网,国内交易平台，也有攻击银行或证券交易所系统等传统金融机构的案例安币网,国内交易平台，但这方面的记录却远少于上述。下面我们来分析一下原因。

作者认为主要有两个原因。一方面，传统金融机构持有的资产，无论是数字（相对于实物纸币和硬币）法定货币还是证券凭证，一般都进行了登记，其流通过程可追溯、受监管。要达到难以追踪的转移效果，成本高，难度大。另一方面，传统金融业的数字化历史悠久。无论是人才储备、技术积累，还是制度规范，都非常成熟。仅信息安全的建设水平就比较高。要在技术上实现成功的入侵和盗窃，走资产和逃脱追捕是一系列非常困难的步骤。

相对于数字货币交易所，一方面，数字货币的匿名性、不变性和非监管特性使得资产转移方便且难以追溯。另一方面，数字货币交易行业存在时间短、发展速度快、利润高。因此，在技术积累不足的情况下，信息安全建设仍然被忽视。隐藏的安全漏洞很多，比较容易被攻击。

三、数字货币交易所在技术方面面临的安全威胁

目前数字货币交易所在技术方面面临的安全威胁，笔者的分析主要分为两类部分。

1.传统信息系统中的安全漏洞

在这部分，数字货币交易所与传统金融机构没有太大区别。 、后端数据库等元素，用户通过浏览器、手机APP、交易所提供的API等多种方式访问​​服务器作为客户端。

结合本文第一部分的事件记录可以看出，这部分面临的安全威胁主要包括服务器软件漏洞、配置不当、DDoS攻击、服务器端Web程序漏洞（包括技术漏洞和业务逻辑）缺陷）、办公室计算机安全问题、内部攻击等。

对于规模大、用户多的交易所，也会面临用户被攻击者利用假冒钓鱼网站骗取认证信息的问题。上面提到的币安交易所异常交易事件，按照官方的说法，是攻击者通过网络钓鱼来欺骗部分用户的认证凭证，然后利用API发起大量交易转移用户账户中的其他币种交易变成了比特币，币安及时发现异常，冻结了提现功能。有趣的是，虽然攻击者无法提币，但他想到了另一种巧妙的获利方式，那就是利用自己控制的大量比特币来操纵市场，影响其他货币的价格，然后交易其他数字货币期货进行了卖空操作，最终利润超过1亿美元，无法提币。在这次事件中，攻击者利用了币安平台在市场上的巨大影响力。理论上，他们并没有窃取任何人的数字货币，只是“换币”，因为大量空头订单分散在数十万其他交易所，无法找到根本原因。

下图为“去中心化漏洞平台”DVP的漏洞统计。

平台最早收录的漏洞信息是 2018 年 7 月 12 日，截至撰写本文时，不到两个月的时间里收录了 1800 多个漏洞，并且还在以每几十个的速度增长天。

上个月，一个安全团队声称捕获了一个0day漏洞，这是一个数字货币交易所全站程序的逻辑漏洞。上百家中小交易所都在使用这个方案，虽然普通大众相信国内外大型交易所不会购买这个第三方开发的全站方案，但现在数字货币交易行业利润很高并且发展迅速，后期可能会有很多人想要快速进入这个市场。在搜索引擎中搜索“数字货币交易平台开发”等关键词，可以发现这块的需求量应该还是很大的。

其实，早期使用第三方外包开发方式的情况并不少见。在传统银行领域，大量中小银行的信息系统也会使用第三方公司的产品进行定制化，因为政府由于层层的严格监管和技术的长期积累对于此类开发公司，银行使用的类似系统通常足够安全。但是，在数字货币行业，情况就不同了。部分从事此类开发的个人和团队确保产品质量的能力有限，因此经常出现通用漏洞也就不足为奇了。

对于这部分安全威胁的解决方案，通过渗透测试、代码审计等安全服务，发现并修复系统中的安全漏洞，可以参考传统安全规范与最佳实践相结合金融业结合自身情况完善安全体系建设。

2.智能合约安全漏洞

以太坊被称为“区块链2.0”技术的代表，因为它支持智能合约的运行。可以这样理解，比特币系统是基于底层区块链技术，外加一个定义奖励分配规则的“合约”。以太坊的出现提供了一个现成的底层区块链网络。在此基础上，开发者可以使用 Solidity 等编程语言来开发和部署自己的智能合约，包括模拟一个类似比特币的产品。由于 Solidity 是图灵完备的编程语言，理论上可以用来实现各种分布式应用。

开发者编写智能合约代码后，将代码部署到区块链上，程序在以太坊节点的EVM虚拟机上执行。代码上传到链上后，每个节点执行相同的操作来同步数据状态。

与传统程序一样，智能合约不可避免地存在安全漏洞。不同的是，由于区块链技术的不可变性，合约一旦部署，就很难修复。问题。一些存在整数溢出等漏洞的代币分发合约部署后，在交易所上市，然后触发漏洞被利用。大量代币在短时间内发行，影响市值，给交易所和用户造成巨大损失。经济损失。

这部分安全威胁与传统的信息安全漏洞有很大不同。传统金融市场也存在类似的攻击，例如 20 世纪末亚洲金融危机期间索罗斯操纵港元。不同的是，要在传统金融市场发起这样的攻击，需要大量的资金支持才能实现。在数字货币领域，理论上任何有能力挖掘合约漏洞的人都可以实现这样的攻击。<​​/p>

下图为部分基于以太坊ERC-20智能合约标准开发的代币合约的漏洞信息：

实际的威胁情况可能比这更糟糕。我们之所以说智能合约是“智能的”，是因为一旦部署在链上，其执行过程透明可见，不可篡改，无需人工干预，自然解决了执行过程中的信任问题。这也是区块链技术应运而生的时代。要解决的根本问题。但是，虽然解决了程序“运行”阶段的问题，但如果合约代码有漏洞，在开始执行后使用，就背离了所涉及的初衷，区块链技术的这些优良特性将成为挽回损失的障碍。

为了应对这部分安全威胁，交易所需要在上币前对合约代码进行完整的安全审计，做到防患于未然，将可能的攻击威胁降到最低.