金色财经比特币10月21日讯尽管近八年由于黑客入侵导致加密货币交易所资金被盗的损失金额已经高达13亿美元,但仍有很多加密货币交易所没有认真对待安全问题。ICORating最近对100家加密货币交易所进行了评估分析,所有这些交易所的24小时交易额均超过了100万美元。根据该公司发布的加密货币行业研究报告,只有46%的交易所的安全参数指标符合要求,其余54%的加密货币交易所都没有执行标准的安全措施。
ICORating从控制台错误、用户账号安全、注册管理和域名安全和Web协议安全四个角度对加密货币交易所安全性进行了评估,具体分析结果如下:
一、控制台错误
加密货币交易所出现问题其实并不总是因为黑客恶意攻击造成的,比如控制台错误就会导致数据丢失,而这个问题则是由于开发人员编程漏洞引发。根据ICORating的调研分析报告披露的数据,目前32%的加密货币交易所存在导致运营故障的编程错误。
二、用户账号安全
为了评估各家加密货币交易所用户账号安全,研究人员在每家交易所创建了一个独立账号,以此检查交易平台对密码安全性的要求,以及是否需要电子邮件和双因素认证(2FA)验证。结果发现只有41%的加密货币交易所允许创建长度小于8个字符的密码,因此被认为安全性较低;37%的加密货币交易所允许用户仅使用数字、或是仅使用字母创建密码,而不需要必须使用字母和数字组合进行密码设;5%的加密货币加密货币竟然允许用户在无需电子邮件验证的情况下创建账户;3%的加密货币交易所缺少双因素身份验证(2FA)措施,用户仅需通过单独设备即可确认登陆。
三、注册管理和域名安全
研究人员使用了Cloundflare工具来识别域名和注册管理安全漏洞,同时还考虑了很多其他因素,比如加密货币交易所是否采取注册表锁定措施,防止任何使用注册表进行外部通讯的恶意用户更改域名;或者,加密货币交易所是否通过加强安全措施(比如在进行域名访问的时候不仅仅需要一个授权代码)来防止发生域名劫持问题;以及是否使用了角色账户来保护敏感域名信息不被泄露。
研究人员建议可以给域名有效期设定一个六个月的时间限制,这样可以解决域名所有权并发问题。不仅如此,研究人员还建议使用DNS安全扩展(DNSSEC)对所有使用加密签名的DNS查询进行身份验证,防止缓存中毒。DNS安全扩展是由IETF提供的一系列DNS安全认证的机制,它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性、或是证实域名不存在。
研究人员发现,虽然没有加密货币交易所完全忽略实施注册管理和域名安全措施,但是只有4%的加密货币交易所满足全部注册管理和域名安全保护措施要求;只有2%的加密货币交易所采取了注册表锁定措施;只有10%的加密货币交易所使用了DNS安全扩展。
四、Web协议安全
ICORating研究人员使用了HTBridge的WebSec工具来检查加密货币交易所Web协议的安全级别,并且监测了URL中的HTTPS标头、X-SXX保护标头、内容安全策略标头、x-frame-options标头和x-content-type标头。结果发现只有10%的加密货币交易所网站使用了全部五个Web协议标头;只有17%的加密货币交易所网站使用了内容安全策略标头;只有29%的加密货币交易所网站使用了上述提及的一种Web协议标头。
