加密货币交易所Youbit破产 网络攻击该如何避免?
本周,位于首尔的加密货币交易所Youbit(前身为Yapizon)在一次重大的网络攻击后被迫关闭并申请破产。这场于周二发生的黑客攻击导致该平台共损失了17%的资产。
该公司发布公开声明,交易所客户将预计取得其交易所账户中多种数字货币价值总额的四分之三。 剩余资金将在破产程序完成后予以退还。
这是这家交易所在最近八个月内第二次受到黑客袭击。去年4月,Youbit就因网络攻击失去了4000比特币(如今价值7300万美元),这一事件令许多客户失去信心。
今年以来,我们已经充分见证了加密货币的快速兴起,比特币价格突破19000美元 24小时内涨幅近50%,其他加密货币也出现大幅增长——以太坊就是其中之一。尽管加密货币的迅速发展吸引了许多投资者,但也为网络犯罪分子提供了窗口。
本月,黑客抢劫了最大的加密货币市场之一——NiceHash,劫走价值超过7000万美元的比特币。东京一家交易所Mt Gox也在一场网络攻击中失去约85万比特币,并在2014年被迫申请破产。
网络攻击很有可能在未来重演,这一现实令许多交易者开始失控。黑客袭击新闻公开后,亚洲交易中的比特币价格下跌了15%。这些事件让许多潜在投资者对网络安全问题感到担忧。的确,日趋先进的网络攻击方式对公众的金融安全构成了巨大的威胁。为了维持加密货币的热度和增长,我们必须要采取一些措施。
PolySwarm的首席执行官(CEO)Steve Bassi对Youbit黑客袭击事件进行了深入研究,并就可能导致交易平台无法免受黑客攻击的影响因素分享了独到的见解。
PolySwarm团队由一群多年处理信息安全问题的“老手”组成,他们拥有数十年在政府(美国国家安全局和美国海军研究实验室)和行业(财富100强企业)的经验。 最近,该团队与美国国土安全部签署了合同,研究区块链环境中的保密控制。
Bassi认为,Youbit与其他交易平台一样,都由整套软件堆栈组成。
他表示,整个堆栈包括从Youbit服务器运行的操作系统到自定义交易程序,其中有数百万条代码。 整个堆栈任何一层中的任何一个漏洞都可能被利用来瓦解并渗透Youbit平台。
Bassi认为也可能是网络钓鱼。网络犯罪分子通常会冒充那些信誉良好的组织,创建电子邮件,诱骗收件人共享例如登录信息和密码之类的隐私数据。一旦以上任何一种情况发生,黑客都能够访问私钥和/或提款系统,榨干账户资金。
“然而一个基本的事实仍然在于,交易平台是由复杂软件所构成的,除非整体地、统一地看待安全,否则这种情况将继续发生。”
Polyswarm产品安全总监Ben Schmidt也分享了一些关于网络攻击的想法。
“网络攻击加密货币交易平台是近几年才出现的新事件。保护交易平台免受黑客的攻击虽有困难,但因这些黑客往往资金不足,因此保护措施并不是无法实现。一旦当手中握有资源的人开始尝试这种攻击,那就几乎不可能防止和避免。因此,这里的重点应该是如何减少损失的潜在影响,减少热钱包里的资金,更好地隔离和监控所有涉及资金转移的系统。”
除非你很了解黑客技术,否则很难继续深入探讨如何可以防止这种攻击的发生。以下是来自Polyswarm团队的建议。
Bassi提到,Youbit应该建立一个面向公众的漏洞奖励计划,这个计划可以鼓励白帽黑客(黑客中的“好人”)在黑帽黑客(网络犯罪分子等)之前找到潜在的漏洞以获得奖励,因为同样的漏洞很有可能被黑帽黑客用以抢劫加密货币交易平台。
1. 首先前提是,交易平台的技术操作员不应当在同一台计算机或同一网络内打开电子邮件并运行交易管理任务 ,这将增加易受攻击性,使得网络犯罪分子更易于入侵。除此之外,每个交易平台都必须有一个正在进行并落实良好的安全计划,计划包括以下内容:
· 一开始就将安全性融入到技术软件体系结构和防御的深入规划中
· 对交易平台的员工进行有效的信息安全培训
· 持续监控系统是否有入侵迹象,并设有专门的应急小组,随时处理任何问题
2. 应当控制保存在热钱包(热钱包,Hot Wallet,指的是一个连接网络的钱包)中的资金。Youbit在一个热钱包里存有17%的资产,这是非常不明智的。全球领先加密货币交易所之一的Coinbase只在热钱包中保留了2%的客户资金。 根据Schmidt的说法,Youbit早期受到的黑客袭击本应使他们更加谨慎,但他们却忽略了。
3. 投资者应当避免将资金保存在网上钱包中。网络犯罪分子以投资者和交易平台为目标,每个人的钱包对他们而言都是潜在的金矿。这就是为什么投资者应该把大部分加密货币放在冷钱包里(冷钱包,Cold Wallet,指的是硬件/离线钱包)。
4. 投资者应当确保他们使用配备资金保险的交易平台。如果发生攻击事件,仍然会有一笔保险赔偿作为补救。随着比特币和其他加密货币的激增,许多投资者纷纷涌向各种交易平台,以获得数字货币。投资者要谨慎交易,确保自己正在使用一个可以信赖的平台。
5. 最后,在交易平台上设立两步认证和保存正确书签链接,提高资金的安全性。但在交易平台面临攻击时,这些措施并没有太大作用。这就是为什么我们仍然在强调,投资者需要谨慎选择资金托管对象。
随着数字货币的不断崛起,我们只能希望交易平台能够强化自己的系统,以阻止未来可能发生的网络攻击。数字货币的命运紧密依赖于投资者对安全交易的信心。而唯一的办法就是使他们确信,无论发生什么,他们的资金都将是安全的。
- 在 Linux 上搭建Jekyll静态博客
- 基于Metronic的Bootstrap开发框架经验总结(5)--Bootstrap文件上传插件File Input的使用
- 网易严选 App 感受 Weex 开发
- MBR勒索木马再度来袭:GoldenEye分析
- Docker Compose 1.18.0 之服务编排详解
- 基于Metronic的Bootstrap开发框架经验总结(6)--对话框及提示框的处理和优化
- 基于Metronic的Bootstrap开发框架经验总结(7)--数据的导入、导出及附件的查看处理
- Ubuntu 17.04 x64 安装 Docker CE
- 这是一篇清晰易懂的 Rxjava 入门教程
- 可能是最详细的部署:Docker Registry企业级私有镜像仓库Harbor管理WEB UI
- 简单好用的阴影库 ShadowLayout
- 【项目管理和构建】——Maven下载、安装和配置(二)
- 打印机安全研究(一):不容乐观的网络打印机安全状况
- Apache Maven 入门篇
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- R语言中的风险价值模型度量指标TVaR与VaR
- R语言用线性回归模型预测空气质量臭氧数据
- R语言线性模型臭氧预测: 加权泊松回归,普通最小二乘,加权负二项式模型
- R语言中回归和分类模型选择的性能指标
- R语言 线性混合效应模型实战案例
- R语言中敏感性和特异性、召回率和精确度作为选型标准的华夫图案例
- R语言中的多类别问题的绩效衡量:F1-score 和广义AUC
- Dart语言基础Map、List、Set操作合辑
- 2.2.2 类反射场景与使用 -《SSM深入解析与项目实战》
- 每天手撕一道算法-64. 最小路径和
- Flutter 1.20 下的 Hybrid Composition 深度解析
- Flutter 1.17 对列表图片的优化解析
- SQL注入常用函数和关键字总结
- 用遗传算法求解函数
- javafx框架tornadofx实战-益智游戏-找出指定的内容1