ICO Rating加密貨幣交易所安全報告:近一半不符合標準要求(附名單)
ICO Rating最近釋出了一份加密貨幣交易所研究報告,其中發現只有46%的交易所的安全引數指標符合要求,其餘54%的加密貨幣交易所都沒有執行標準的安全措施。換句話說,至少有數十萬加密貨幣交易者和投資者面臨安全風險。
ICO Rating對100家加密貨幣交易所進行了評估分析,所有這些交易所的24小時交易額均超過了100萬美元。事實上,自2010年以來,由於黑客入侵導致加密貨幣交易所資金被盜的損失金額已經高達13億美元,但即便如此,似乎仍然有很多加密貨幣交易所沒有認真對待安全問題。
ICO Rating上週釋出了最新的加密貨幣交易所安全報告,其中從四個角度對交易所進行了評估,分別是:
1、控制檯錯誤
2、使用者賬號安全
3、註冊管理和域名安全
4、Web協議安全
下面,就讓我們從這四個方面來看看目前業內加密貨幣交易所存在哪些安全隱患吧。
控制檯錯誤
過去,加密貨幣交易所遭遇控制檯錯誤總會導致資料丟失,但其實這個問題並不是黑客惡意攻擊造成的,而是由於開發人員的程式設計漏洞。根據ICO Rating的調研分析報告披露的資料,目前32%的加密貨幣交易所存在導致運營故障的程式設計錯誤。
使用者賬號安全
為了評估各家加密貨幣交易所使用者賬號安全,研究人員在每家交易所建立了一個獨立賬號,以此檢查交易平臺對密碼安全性的要求,以及是否需要電子郵件和雙因素認證(2FA)驗證。結果發現:
1、41%的加密貨幣交易所允許建立長度小於8個字元的密碼,因此被認為安全性較低;
2、37%的加密貨幣交易所允許使用者僅使用數字、或是僅使用字母建立密碼,而不需要必須使用字母和數字組合進行密碼設定,這也被認為是一種安全漏洞;
3、5%的加密貨幣加密貨幣竟然允許使用者在無需電子郵件驗證的情況下建立賬戶;
4、3%的加密貨幣交易所缺少雙因素身份驗證(2FA)措施,使用者僅需通過單獨裝置即可確認登陸,也被認為是資金保護不利的一個方面。
註冊管理和域名安全
研究人員使用了Cloundflare工具來識別域名和註冊管理安全漏洞,同時還考慮了很多其他因素,比如加密貨幣交易所是否採取登錄檔鎖定措施,防止任何使用登錄檔進行外部通訊的惡意使用者更改域名;或者,加密貨幣交易所是否通過加強安全措施(比如在進行域名訪問的時候不僅僅需要一個授權程式碼)來防止發生域名劫持問題;以及是否使用了角色賬戶來保護敏感域名資訊不被洩露。
研究人員建議可以給域名有效期設定一個六個月的時間限制,這樣可以解決域名所有權併發問題。不僅如此,研究人員還建議使用DNS安全擴充套件(DNSSEC)對所有使用加密簽名的DNS查詢進行身份驗證,防止快取中毒。DNS安全擴充套件是由IETF提供的一系列DNS安全認證的機制,它提供了一種來源鑑定和資料完整性的擴充套件,但不去保障可用性、加密性、或是證實域名不存在。
研究人員發現,雖然沒有加密貨幣交易所完全忽略實施註冊管理和域名安全措施,但是:
1、只有4%的加密貨幣交易所滿足全部註冊管理和域名安全保護措施要求;
2、只有2%的加密貨幣交易所採取了登錄檔鎖定措施;
3、只有10%的加密貨幣交易所使用了DNS安全擴充套件。
Web協議安全
ICO Rating研究人員使用了HT Bridge的WebSec工具來檢查加密貨幣交易所Web協議的安全級別,並且監測了URL中的HTTPS標頭、X-SXX保護標頭、內容安全策略標頭、x-frame-options標頭和x-content-type標頭。
結果發現:
1、只有10%的加密貨幣交易所網站使用了全部五個Web協議標頭;
2、只有17%的加密貨幣交易所網站使用了內容安全策略標頭;
3、只有29%的加密貨幣交易所網站使用了上述提及的一種Web協議標頭。
總結
ICO Rating按照安全級別順序對100家加密貨幣交易所進行了排名,其中最安全的加密貨幣交易所是Coinbase Pro,Kraken緊隨其後,前五名中的另外三家加密貨幣交易所分別是BitMEX、GOPAX和CDPAX。
另外,一些知名加密貨幣交易所的排名包括:幣安位列第17位,OKEx位列第42位,火幣位列第47位,BTCC位列第51位,Bitfinex位列第54位,雙子星交易所位列第55位,OKCoin排名墊底。
具體排名資訊如下:
本文翻譯自 https://www.ccn.com/over-half-of-all-crypto-exchanges-have-security-vulnerabilities-report/ 。