Οι ανταλλαγές κρυπτονομισμάτων χειρίζονται τεράστιους όγκους χρημάτων. Το πρόβλημα με όλη αυτή την ένταση είναι, είναι ελκυστικό για όλα τα λάθος είδη ανθρώπων. Ανόητοι άνθρωποι. Άτομα που θέλουν να πάρουν αυτά τα χρήματα για τον εαυτό τους.

Οι ανταλλαγές κρυπτογράφησης είναι ενάντια στα χειρότερα και υπάρχει μεγάλο ενδιαφέρον για την παραβίαση και την κλοπή κρυπτογράφησης. Δυστυχώς, οι ανταλλαγές κρυπτογράφησης έχουν ευπάθειες που μπορούν να αξιοποιηθούν. Ακολουθούν μερικοί λόγοι για τους οποίους οι ανταλλαγές κρυπτογράφησης παραμένουν ευάλωτες σε απάτες, απάτες, παραβιάσεις και επιθέσεις.

Λόγος 1: Τεράστια κατοχή κρυπτονομισμάτων

Ο κύριος και πιο προφανής λόγος είναι ο προαναφερθείς τόμος. Είναι λίγο απαραίτητο να χρησιμοποιήσουμε αυτό το σημείο, γιατί καλύπτει όλους τους άλλους λόγους. Οι κλέφτες θέλουν τα κουπόνια και τα θέλουν τώρα.

Αλλά αφιερώστε λίγο χρόνο για να σκεφτείτε το μέγεθος του τι προσπαθεί ένας εισβολέας να πάρει στα χέρια του.

Κάθε ανταλλαγή έχει ένα ζεστό πορτοφόλι. Το καυτό πορτοφόλι (ή διαδικτυακό πορτοφόλι) επεξεργάζεται συναλλαγές στο χρηματιστήριο, χωρίς να χρειάζεται να μετακινήσετε τα νομίσματα μπρος-πίσω μεταξύ των ψυχρών πορτοφολιών εκτός σύνδεσης. Ωστόσο, το καυτό πορτοφόλι είναι ένα από τα κύρια αξιοθέατα για μια επίθεση. Ανά πάσα στιγμή, μια ανταλλαγή μπορεί να έχει εκατοντάδες εκατομμύρια δολάρια σε κρυπτονομίσματα σε ένα ζεστό πορτοφόλι. Τον Δεκέμβριο του 2017, ο Bittrex είχε τελειώσει 4 δισεκατομμύρια δολάρια κάθεται σε ένα μόνο πορτοφόλι. Αφήστε το να βυθιστεί για μια στιγμή.

Το Bittrex δεν είναι μόνο του. Όλες οι ανταλλαγές έχουν ζεστά πορτοφόλια. Και ο Δεκέμβριος 2017 ήταν μια ιδιαίτερα εντατική περίοδος συναλλαγών. Αλλά μάρκες αξίας τεσσάρων δισεκατομμυρίων δολαρίων προστατεύονται με ένα μόνο ιδιωτικό κλειδί; Είναι απίστευτα επικίνδυνο.

Υπάρχουν επίσης εμφανή παραδείγματα:

  • Bithumb. Το νόμισμα της Νότιας Κορέας έχασε 35 δισεκατομμύρια κορεατικά κέρδη (περίπου 31,5 εκατομμύρια δολάρια) σε μάρκες τον Ιούνιο του 2018.
  • Νόμισμα. Ένα άλλο χρηματιστήριο της Νότιας Κορέας, ο Coinrail έχασε περίπου 40 δισεκατομμύρια κορεατικά κέρδη (περίπου 35 εκατομμύρια δολάρια) σε μάρκες, επίσης τον Ιούνιο του 2018.
  • Coincheck. Η ιαπωνική ανταλλαγή Coincheck έχασε 523 εκατομμύρια νομίσματα NEM, αξίας περίπου 534 εκατομμυρίων δολαρίων, τον Ιανουάριο του 2018.
  • Ζάιφ. Ένα άλλο ιαπωνικό χρηματιστήριο, ο Zaif, έχασε περίπου 60 εκατομμύρια δολάρια σε bitcoin, bitcoin cash και MonaCoin, τον Σεπτέμβριο του 2018.
  • Bitstamp. Η Bitstamp που εδρεύει στο Λουξεμβούργο έχασε 18.866 BTC τον Ιανουάριο του 2015, αξίας περίπου 5,1 εκατομμυρίων δολαρίων.

Αυτά είναι μόνο πέντε παραδείγματα ενός hot hack πορτοφολιού. Υπάρχουν αμέτρητες άλλες περιπτώσεις παραβίασης ανταλλαγής κρυπτογράφησης.

Λόγος 2: Ανθρώπινα λάθη

Οι ανταλλαγές κρυπτογράφησης δεν είναι αυτόνομες. Πίσω από τα παρασκήνια, και όπως κάθε μεγάλος ιστότοπος, υπάρχει μια αφοσιωμένη ομάδα που εργάζεται για να συνεχίσει τα πράγματα. Ως επί το πλείστον λειτουργεί καλά. Ωστόσο, οι άνθρωποι είναι πτωτοί. Δυστυχώς, στον κόσμο της κρυπτογράφησης, τα σφάλματα τιμωρούνται σε μεγάλο βαθμό. Επιπλέον, είναι εύκολο για έναν εισβολέα να στείλει μηνύματα ηλεκτρονικού ταχυδρομείου spam ή phishing με την ελπίδα να πάρει επιτυχία.

Πάρτε το Bitstamp hack από την τελευταία ενότητα. Το Bitstamp αρχικά διατηρούσε πολύ ήσυχο σχετικά με το hack, αλλά ένα έγγραφο που έχει διαρρεύσει ρίχνει φως στα γεγονότα. Οι χάκερ έστειλαν μια σειρά ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος σε έξι υπαλλήλους της Bitstamp κατά τη διάρκεια αρκετών εβδομάδων. Οι εισβολείς ολοκλήρωσαν ελέγχους ιστορικού στους υπαλλήλους, τους ζήτησαν μέσω Skype και τελικά κατάφεραν να πείσουν έναν διαχειριστή συστήματος Bitstamp να κατεβάσει ένα έγγραφο του Word.

Το έγγραφο του Word περιείχε ένα σκοτεινό σενάριο της Visual Basic for Applications (VBA) που κατέβασε ένα κακόβουλο αρχείο και έθεσε σε κίνδυνο τον υπολογιστή sys-admins. Μόλις συμβιβαστεί, ο εισβολέας είχε πρόσβαση στους κύριους διακομιστές Hot Wallet Bitstamp, συμπεριλαμβανομένων των φράσεων πρόσβασης.

«Στις 4 Ιανουαρίου, ο εισβολέας στραγγίγησε το πορτοφόλι Bitstamp, όπως αποδεικνύεται από το blockchain. Αν και το μέγιστο περιεχόμενο αυτού του πορτοφολιού ήταν 5000 bitcoin ανά πάσα στιγμή, ο εισβολέας μπόρεσε να κλέψει πάνω από 18.000 bitcoin καθ ‘όλη τη διάρκεια της ημέρας καθώς έγιναν περαιτέρω καταθέσεις από τους πελάτες. “

Δεν προκαλεί έκπληξη το γεγονός ότι περίπου 31 κρυπτονομίσματα έχουν παραβιαστεί τα τελευταία οκτώ χρόνια, με απώλεια άνω των 1,3 δισεκατομμυρίων δολαρίων.

Λόγος 3: Ατέλειες στην υποδομή

Τα ανθρώπινα λάθη μπορούν επίσης να προκαλέσουν και άλλες ευπάθειες. Εάν ο εισβολέας δεν στοχεύει υπαλλήλους, μπορείτε να στοιχηματίσετε ότι στοχεύουν ευπάθειες στην υποδομή του ιστότοπου.

ο Αναφορά ασφάλειας ICO Rating Exchange προσδιορίζει τέσσερις τομείς όπου οι ανταλλαγές κρυπτονομισμάτων είναι ευάλωτες:

  • Σφάλματα κονσόλας
  • Ασφάλεια λογαριασμού χρήστη
  • Καταχωρητής και Ασφάλεια Τομέα
  • Ασφάλεια πρωτοκόλλων Ιστού

κριτική αξιολόγησης ασφάλειας crypto exchange crypto

Σφάλματα κονσόλας

Τα σφάλματα στον υποκείμενο κώδικα ανταλλαγής δεν είναι αυτόματα κρίσιμα, αλλά εξαρτάται από τη σοβαρότητα του σφάλματος. Για παράδειγμα, το μαζικό DAO hack ήταν σχεδόν εξ ολοκλήρου σε ευπάθεια κώδικα. Οι χάκερ έκλεψαν Ethereum αξίας άνω των 50 εκατομμυρίων δολαρίων.

Η έκθεση αξιολόγησης ICO εκτιμά ότι το 68% των ανταλλαγών που ερευνήθηκαν δεν έχουν καθόλου σφάλματα. Λοιπόν, τι γίνεται με το άλλο 32%; Λοιπόν, αυτό εξαρτάται από τον τύπο ευπάθειας κώδικα. Επιπλέον, εάν κάποια κακόβουλα μέρη γνωρίζουν για την ευπάθεια και είναι επικερδές να το εκμεταλλευτούμε.

Ασφάλεια λογαριασμού χρήστη

Πιθανότατα σκέφτεστε ότι «η ατομική ασφάλεια λογαριασμού τελικού χρήστη δεν είναι τεράστιο ζήτημα». Σε ένα σημείο, έχετε δίκιο. Η ασφάλεια του λογαριασμού τελικού χρήστη είναι σημαντική αλλά δεν είναι κρίσιμη για την ανταλλαγή ασφάλειας.

Οι λογαριασμοί υπαλλήλων ανταλλαγής είναι ένα διαφορετικό θέμα. Η ασφάλεια λογαριασμού χρήστη για υπαλλήλους ανταλλαγής κρυπτογράφησης πρέπει να είναι ισχυρή καθώς και συνεπής. Θέλω να πιστεύω ότι όλοι οι υπάλληλοι κρυπτογράφησης ανταλλάσσουν υπαλλήλους για την ασφάλεια λογαριασμού (ισχυρός κωδικός μίας χρήσης, περισσότεροι από οκτώ χαρακτήρες, συνδυασμός χαρακτήρων και συμβόλων κ.λπ.).

Καταχωρητής και Ασφάλεια Τομέα

Η μελέτη εξέτασε τις ευπάθειες ανταλλαγής που συνδέονται με τον καταχωρητή ιστότοπου και τον τομέα. Προσδιόρισε πέντε διαφορετικές πιθανές ευπάθειες:

  • Κλείδωμα μητρώου. Το κλείδωμα μητρώου είναι μια ειδική σημαία στο μητρώο που εμποδίζει οποιονδήποτε κάνει αλλαγές στον τομέα σας.
  • Κλειδαριά καταχωρητή. Διαφορετικό από το “κλείδωμα μητρώου”, το κλείδωμα καταχωρητή αποτρέπει την παραβίαση τομέα με μαζική ασφάλεια και έλεγχο ταυτότητας προτού επιτρέψει αλλαγές στο μητρώο.
  • Λογαριασμοί ρόλων. Ένας λογαριασμός ρόλου αποτρέπει τη διαρροή ιδιωτικών πληροφοριών που βρέθηκαν μέσω μητρώου. Θεωρητικά, καθιστά δύσκολη την εύρεση ατόμων που συνδέονται με το μητρώο τομέα και, ως εκ τούτου, δυσκολότερο να στοχεύσουν οι εισβολείς.
  • Λήξη. Η εκπνοή του τομέα είναι εκπληκτικά συχνή (θυμηθείτε πότε η Google άφησε κατά λάθος τον τομέα τους να λήξει και κάποιος ξαφνιάστηκε;).
  • DNSSEC. Το DNSSEC (Επεκτάσεις ασφάλειας συστήματος ονόματος τομέα) είναι μια σειρά εργαλείων για προστασία από επιθέσεις DNS. Το DNSSEC επικυρώνει όλα τα ερωτήματα DNS με κρυπτογραφική υπογραφή, απορρίπτοντας μη εξουσιοδοτημένες καταχωρίσεις και απαντήσεις DNS.

Ασφάλεια πρωτοκόλλων Ιστού

Το τελικό διάνυσμα επίθεσης είναι η ασφάλεια πρωτοκόλλου ιστού. Οι επιτιθέμενοι είναι έμπειροι στην εκμετάλλευση τρωτών σημείων στο Διαδίκτυο. Πράγματι, μερικές από τις μεγαλύτερες επιθέσεις προέρχονται από τις πιο κοινές ευπάθειες. Η αναφορά δοκιμάζει την ασφάλεια πρωτοκόλλου ανταλλαγής χρησιμοποιώντας https://www.htbridge.com/websec/, αξιολογώντας εάν υπάρχουν οι ακόλουθες πέντε κεφαλίδες ασφαλείας:

  • Αυστηρή μεταφορά-ασφάλεια. Η κεφαλίδα HTTP-Strict-Transport-Security (HSTS) αναγκάζει τις περιόδους σύνδεσης του προγράμματος περιήγησης να χρησιμοποιούν HTTPS.
  • X-XSS-Προστασία. Η κεφαλίδα X-XSS-Protection καθορίζει τον τρόπο προστασίας του ιστότοπου από δέσμες ενεργειών μεταξύ ιστότοπων και τις ευπάθειες που συνοδεύουν.
  • Περιεχόμενο-Ασφάλεια-Πολιτική. Η κεφαλίδα Content-Security-Policy (CSP) επιτρέπει τον ορισμό των επιτρεπόμενων πηγών συγκεκριμένων τύπων περιεχομένου, βοηθώντας στην άμυνα από το XSS και άλλες επιθέσεις με έγχυση κώδικα. Επιπλέον, το CSP ορίζει ορισμένες συμπεριφορές ασφαλείας του προγράμματος περιήγησης, όπως η χρήση περιβάλλοντος περιβάλλοντος sandbox για τη συνεδρία.
  • Επιλογές X-Frame. Η κεφαλίδα X-Frame-Options καθορίζει εάν ο ιστότοπος επιτρέπει τον εαυτό του να πλαισιωθεί. Ο αποκλεισμός του πλαισίου σταματάει επιθέσεις όπως τζόκερ και κακόβουλες διαφημίσεις.
  • X-Content-Type-Options. Η κεφαλίδα X-Content-Type-Options προστατεύει επίσης από τις επιθέσεις XSS και την έγχυση κώδικα απενεργοποιώντας την εισπνοή περιεχομένου ενώ ταυτόχρονα διασφαλίζει ότι το περιεχόμενο ορίζεται και ελέγχεται από την κεφαλίδα.

Η έκθεση αξιολόγησης ICO δείχνει ότι το 29% των κρυπτονομισμάτων που εξετάστηκαν δεν είχαν καμία από τις παραπάνω κεφαλίδες ασφαλείας.

Προκλήσεις ασφάλειας ανταλλαγής κρυπτονομισμάτων

Είναι σαφές ότι οι ανταλλαγές κρυπτονομισμάτων έχουν πολλά ελαττώματα. Επίσης, βλέπετε την κλίμακα των προβλημάτων που αντιμετωπίζουν οι ανταλλαγές. Η αυξανόμενη βάση χρηστών αυξάνει τα ποσοστά ανταλλαγής, καθιστώντας με τη σειρά του την ανταλλαγή πιο ελκυστικό στόχο. Πρέπει επίσης να σκεφτείτε ιστότοπους που αντιμετωπίζουν ταχεία ανάπτυξη και αναβάθμιση των πρακτικών ασφαλείας ανάλογα.

Οι ανταλλαγές κρυπτογράφησης δεν είναι ειδικές. Δεν είναι μοναδικοί ιστότοποι με εξειδικευμένα πρωτόκολλα. Ένα crypto exchange χρησιμοποιεί τα ίδια πρωτόκολλα ασφαλείας με το υπόλοιπο Διαδίκτυο. Και όπως το υπόλοιπο Διαδίκτυο, η ανταλλαγή είναι τόσο ισχυρή όσο η εφαρμογή ασφαλείας. Εάν ο σχεδιαστής του ιστότοπου δεν είναι έτοιμος, η ανταλλαγή και οι χρήστες της είναι εγγυημένα ότι θα περάσουν άσχημα.

Η βέλτιστη πρακτική είναι η αφαίρεση του κρυπτονομίσματός σας από ένα δυνητικά ευάλωτο χρηματιστήριο και η αποθήκευσή του σε ένα ασφαλές κρύο πορτοφόλι εκτός σύνδεσης.