背景介绍
2022 年初始,全球加密货币总市值达到近 3 万亿美元,似乎一切都会越来越好,会有越来越多对区块链充满希望的人入场。然而,重大震荡不但冲击市场,也击碎部分参与者的信仰。由于加密货币价格暴跌、交易所暴雷的市场冲击,包括 Terra 崩溃、Celsius Network 和 Voyager Digital 申请破产、Three Arrows Capital 倒闭以及 FTX 暴雷,这些冲击就像多米诺骨牌,一环接一环波及整个市场,导致整个加密市场总市值蒸发约 2 万亿美元。
根据慢雾区块链被黑事件档案库(SlowMist Hacked)统计,2022 年安全事件共 303件,损失高达
37.77 亿美元(按事发价格计算)。
由于缺乏统一行业标准和有效的监管,很多数字货币交易平台的安全防护不够。尤其在账户的注册、登录、验证、业务风险警示以及平台、客户端的漏洞防护上缺乏有效保障,从而导致黑客能够轻松窃取到用户账户,进而对账户进行买卖交易、修改信息、提现等操作。
三大安全威胁
随着区块链的发展,以及加密数字货币的带来财富效应,各种数字货币成为黑客关注的焦点。黑客不仅利用钓鱼、木马等方式在很多软件、平台和个人设备上进行数字货币的“挖矿”,更直接瞄准了数字货币的交易平台。
根据币安公告以及既往数字货币平台遭攻击的案例分析,数字货币交易平台主要面临以下安全问题:
1、账户保护体系弱:传统的密码、密钥识别用户身份的模式,无法辨别账户真伪和安全,导致黑客能够冒充用户进行交易、提现等;
2、平台存在业务漏洞:平台的系统和外部访问接口存在业务安全漏洞,导致黑客能够利用来实施非法操作,比如卖出用户资产、窃取用户关键数据;
3、缺乏智能风控的防护:由于未配置关键环节的风控识别技术,导致平台的非法交易、非法操作等行为不能够被及时发现。
可用的安全解决方案
1.在互联网环境,部署无感验证和设备指纹技术
设备指纹对访问设备进行唯一标识,为后续的风险决策提供重要的设备维度数据,并对设备运行环境进行风险检测;无感验证结合了设备指纹、行为特征、访问频率、地理位置等多项技术,精准判定人机操作,有效拦截撞库、API漏洞探测、批量注册、机器发起的资产转移等机器行为,并对疑似风险进行二次验证,正常用户则免打扰。
2.在用户的移动客户端上,部署安全SDK
通过基于白盒加密技术的终端数据保护功能,以及高强度的网络传输数据保护功能,实时监测防护客户端所面临的风险威胁,有效防范黑客通过调用API发起威胁攻击。同时在客户网站的Web页面上,提供独有产品对Web/H5文件进行加密、混淆、压缩,可以有效防止Web/H5源代码被黑灰产复制、破解。
3.在交易平台的内网环境,部署实时风险决策引擎
根据设备指纹、IP、账号、地域、时间序列等多维度参数,分析并挖掘访问者的行为特征和关联关系,对外部访问的各类请求进行实时风险识别,立体判断是黑产威胁还是正常用户。而智能分析平台则提供了灵活的离线数据分析,可进一步从历史数据中发掘用户的正常行为特征及模型,并将挖掘的黑白数据及模型部署到上述决策引擎上,快速对后续访问进行更有效的异常发现,从而形成了具备攻防升级能力的智能风控闭环。
结语
纵览整个 2022,“动荡”一词贯穿全年。尽管仍有暴雷的余震回荡,尽管我们正在经历寒冬,但任何事物都无法改变区块链发展的方向,只有如履薄冰,认真做有利于行业发展的事情才能稳固长久。无论如何,我们仍期待着区块链行业在 2023 年的发展。
方案咨询:免费试用
附:损失TOP10安全事件
1 Ronin Network 损失超 6.1 亿美元
2 BNBChain 遭到漏洞利用
3 Wormhole 损失超 3 亿美元
4 Beanstalk Farms 遭闪电贷和提案攻击
5 Wintermute 损失 1.6 亿美元
6 Nomad 桥遭受黑客攻击
7 Elrond 出现安全漏洞
8 Mango 因价格操纵被提取 1 亿 美元
9 Harmony 损失超 1 亿美元
10 Qubit 遭攻击损失 8000 万美元
PS:此TOP10整理来自《2022年度回顾:区块链安全与反洗钱分析》
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。