云安全联盟：数字货币交易所Top 10安全风险（21页）.pdf

《云安全联盟：数字货币交易所Top 10安全风险（21页）.pdf》由会员分享，可在线阅读，更多相关《云安全联盟：数字货币交易所Top 10安全风险（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、最常见的加强 API 安全性的方法：（1）使用令牌。建立可信的身份，再通过使用分配给这些身份的令牌来控制对服务和资源的访问。（2）使用加密和签名。通过 TLS， XML Encryption， 零知识证明等方法加密数据。要求使用数字签名，确保只有拥有权限的用户才能解密和修改数据。（3）识别漏洞。确保操作系统、网络、驱动程序和 API 组件保持最新状态。了解如何全面实现协同工作，识别会被用于侵入 API 的薄弱之处。利用持续监控来检测安全问题并跟踪数据泄露。（4）使用配额和限流。对 API 的调用频率设置限额，并跟踪其使用记录。如果 API调用数量增多，表明它可能正被滥用，也可能是编程出了错，例

2、如在无限循环中调用 API。指定限流规则，防止 API 出现调用激增和拒绝服务攻击。（5）使用 API 安全网关。API 安全网关担当 API 流量策略执行点。好的网关既能帮助验证流量的使用者身份，也能控制和分析 API 使用情况。如果交易所服务器是部署在云上的，大部分头部的云服务提供商都有 API 安全网关解决方案或者第三方的 MarketPlace 上可以找到的 API 安全服务网关。（6）交易所对 API 使用应加上 IP 限制，并识别同一 IP 使用多个 API 可能存在黑客风险，要特别注意防止重放攻击，关键 API 不允许重复提交调用。针对使用合约进行 ETH 充值时，需要判断内联交

3、易中是否有 revert 的交易，如果存在 revert 的交易，则拒绝入账。针对使用合约进行 ETH 充值时，需要判断内联交易中是否有 Out of gas 的交易，如果存在 Out of gas 的交易，则拒绝入账。针对使用合约进行 ETH 充值时，需要判断内联交易中是否有 Error 字段的交易，如果存在 Error字段的交易，则拒绝入账。采用人工入账的方式处理合约入账，确认充值地址到账后才进行人工入账。针对使用合约进行 ETH 假充值时，除了 revert 和 Out of gas 的手法外，不排除未来有新的手法，安全团队需要持续保持关注和研究。交易所热钱包存储过多资金，成为黑客目标，这个风险与交易所热钱包有关的 IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击：恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击，借此收集用户的登陆凭据。数据库被攻击导致私钥泄露。交易所数据库中存放其热钱包私钥，黑客对数据库进行攻击，获取到数据库数据后通过数据库存放的私钥进行转账。IT 系统漏洞。交易所自身系统存在漏洞，黑客通过其自由漏洞获取 IT 系统控制权后，直接通过 IT 系统进行转账。员工监守自盗 。前雇员在离职后通过在职时留下的后门进行资产转移。