作为数字货币产业链的核心环节,交易所在项目方与投资者中起到连接作用。安全是交易所的生命线,它出问题会伤害用户,更可能会杀死交易所。

近日,全球首家具有共识机制的交易联盟所IDCM发布了其安全防护体系白皮书,从业务结构、网络架构、程序防护、内部安全防护等层面对其安全防护措施进行了全方位的展示,引起业内关注。

数字货币交易安全问题刻不容缓

区块链技术在创造了一个又一个财富神话的同时,黑产从业者利用区块链概念和技术牟利,盗窃、勒索和控制电脑以及服务器挖矿等非法活动频频发生。

2018 年 1 月 26 日,日本最大的加密货币交易所之一CoinCheck遭遇了黑客攻击,平台全部NEM币被非法转移。根据估算,这批丢失的数字货币价值5. 34 亿美金,是历史上最大规模的数字货币盗窃案。

腾讯安全联合发布《 2018 年上半年区块链安全报告》(简称《报告》)指出,数字加密货币交易所被攻击,仅 2018 年上半年就损失了约 7 亿美元,盗窃、勒索和挖矿已发展成为 2018 上半年区块链三大安全威胁。

图 | 201 8 上半年交易平台被攻击损失超过 7 亿美元

据网络安全公司Carbon Black的调查数据显示,在加密货币发展不到 10 年的时间里,被窃取的加密货币价值已达到了 20 亿美元,仅 2018 年上半年,有价值约 11 亿美元的数字加密货币被盗,且在全球范围内因区块链安全事件损失金额还在不断攀升。数字货币交易安全问题刻不容缓。

图 | 近年来区块链安全事件逐年攀升

IDCM推业界最强安全防护体系

分析交易所安全事件,我们可以发现,交易所面临的安全隐患主要来自以下几方面:

交易所平台系统BUG,受系统BUG影响,可能会导致黑客的攻击,进而造成财产损失。

平台资金存储不当,将所有的资金都存储在热钱包,在联网状态,有可能被盗。

用户隐私威胁,利用安全漏洞进行入侵获取管理权限盗取数据或者利用平台用户的安全意识薄弱,通过钓鱼网站骗取用户隐私信息,还有黑客在交易所平台的运维或开发人员的机器上植入病毒、木马、后门程序来获取用户隐私信息甚至交易所平台的私钥等。

通过分析IDCM白皮书,IDCM正是针对上述问题进行一一化解。

1、程序上, 6 大举措强化安全防护

白皮书显示,IDCM采用了多重登录验证(谷歌、短信、PIN码),人机行为验证(滑杆、拖图),确保属用户本人登录;异地登录需要通过短信、谷歌验证,杜绝他人登录;API访问次数限制,全方位监测访问异常情况;全站加密传输处理(SSL/TLS)帮用户识别钓鱼网站的同时可有效保障用户的隐私信息安全;APP&Web代码混淆打包处理,避免官方交易平台被反编译和破解,提升平台的防御能力。

图 | IDCM程序上的安全防护流程

2、架构上, 6 大架构保障平台可防御1000G+DDOS攻击

在网络安全架构上,IDCM也进行了全方位的升级。

采用微服务器架构,将应用拆分为一套小且互相关联的服务,独立开发部署,可同时支持300w+并发,安全应对及时快速;

堡垒机隔离管理操作,保障网络和数据不受来自外部和内部用户的入侵和破坏;

主要节点监控服务(异常波动发送短信及邮件)、入侵检测系统 IDS和入侵防御系统 IPS和专业定制的防CC,确保有效防范入侵;

主要服务器安全隔离,分布在多个云网络(阿里云、AWS、安畅云等),更严格地控制能够访问特定信息的人员,且提高了抵御恶意软件攻击的防护程度;

全球CDN加速,当某个服务器发生意外故障时,系统将会调用其他临近的健康服务器节点进行服务,让网站永不宕机的同时,可应对绝大部分的互联网攻击事件。

图 | IDCM架构上的安全防护流程

3、存储上,数字资产离线冷存储

在传统银行,银行仅保留一部分钱作为备用金。在美国,银行要保留总储蓄量3%~10%的现金来应对提款请求。和传统银行一样,IDCM将70%的资产用于冷钱包存储,在离线的状态下,100%保障用户的资产安全。

4、团队配置,新加坡网络安全公司 Horangi为背书

在安全配置上,新加坡网络安全公司 Horangi为IDCM提供安全的整体解决方案。Horangi是新加坡知名网络安全公司,在全球拥有 50 多名客户,他们包括华为等。

5、专机专用,加强内部安全防护

为有效消除内部安全隐患,IDCM参照传统交易所和银行管理制度,强化内部安全防范工作。

比如,终端全部安装 360 企业级病毒防护,防止入侵;终端全部采用绿盾加密软件,源码经过加密,无法外传;内部网络安装行为审计系统,所有操作日志可查,并限制部分可操作机器;内部密码进行分散式管理,不同密码基本由不同人员保管,重要操作需要同时在场进行;专机专用,操作员进行网络隔离等。

总结:

数字货币生态系统的健康发展和未来生存需要一个安全的交易环境,投资者对于安全交易环境需求也愈发强烈。从个人投资角度而言,规模大、安全技术投入较多、历史被攻击情况较少甚至没有被攻击过的交易所是不错的选择。

当然,眼下部分交易所也在强化自身的安全建设工作,但纵观IDCM一年来在安全防范上的举措,在投入的强度、防范的力度上,IDCM无疑是其中的佼佼者。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: