¿Cuánto sabe sobre los 10 principales riesgos de seguridad de los incidentes de seguridad de cambio de moneda digital?

¿Cuántos riesgos de seguridad conoce sobre los 10 principales riesgos de seguridad de los intercambios de divisas digitales?

TOP 10

El Equipo de seguridad de intercambio del Grupo de trabajo de seguridad de cadena de bloques de CSA GCR analizó los incidentes de seguridad que ocurrieron en los intercambios en los últimos años y resumió los diez principales riesgos de seguridad según la frecuencia de los incidentes de seguridad y el grado de pérdida de capital.

1 Amenazas persistentes avanzadas

(APT: amenaza persistente avanzada)

Descripción del riesgo

Amenaza Persistente Avanzada (en inglés: Advanced Persistent Threat, abreviatura: APT), también conocida como amenaza persistente avanzada, amenaza persistente avanzada, etc., se refiere a un proceso de intrusión informática oculto y persistente, generalmente planificado cuidadosamente por cierto personal, dirigido a objetivos específicos. Por lo general, tiene motivaciones comerciales o políticas, se dirige a una organización o país específico y requiere un alto sigilo durante un largo período de tiempo. Las amenazas persistentes avanzadas constan de tres elementos: Avanzada, Persistente, Amenaza. Advanced enfatiza el uso de malware y técnicas sofisticadas para explotar vulnerabilidades en el sistema. Alusión a largo plazo a una fuerza externa que constantemente monitorea y obtiene datos de un objetivo en particular. Las amenazas se refieren a ataques que involucran a humanos en la planificación. La amenaza avanzada a largo plazo de los intercambios de moneda digital es generalmente que los piratas informáticos realizan una recopilación precisa del proceso comercial y el sistema objetivo del ataque antes de atacar. Durante el proceso de recopilación, este ataque buscará activamente las vulnerabilidades de la aplicación y el sistema de administración de identidad del objetivo, y usará el correo electrónico y otros métodos de phishing para instalar malware y esperará la oportunidad de madurar, y luego usará vulnerabilidades de día cero o procesos de intercambio. Vulnerabilidades en el ataque. Los conocidos equipos de piratería de APT que se enfocan en los intercambios de moneda digital incluyen CryptoCore (también conocido como: Crypto-gang", "Dangerous Password", "Leery Turtle" robó con éxito 200 millones de dólares estadounidenses) y Lazarus (robó 500 millones de dólares).

Comentario financiero candente de CCTV: La construcción de un sistema regulatorio que coincida con el experimento de la moneda digital debe acelerarse: el 3 de noviembre, el comentario financiero de CCTV declaró que, en la situación actual, el ritmo de la tecnología nacional y la innovación financiera no se pueden detener, y la exploración y la experimentación de la moneda digital también se lleva a cabo activamente. Por lo tanto, se debe acelerar la construcción de un sistema regulatorio correspondiente, y se debe formular un marco legal y regulatorio complejo y completo para fortalecer la línea roja y el resultado final de la prevención de riesgos. Hace unos días, las "Medidas provisionales para la administración de negocios de préstamos pequeños en línea (borrador para comentarios)" redactadas por la Comisión Reguladora de Seguros y Banca de China y el Banco Popular de China se abrieron al público para comentarios; el 2 de noviembre , la 16ª reunión del Comité Central para la Profundización Integral de la Reforma La reunión deliberó y aprobó el Plan de Implementación para Mejorar el Mecanismo de Exclusión de las Empresas Cotizadas. La formulación y promulgación de estas políticas muestra la esencia de acelerar el establecimiento y la mejora del sistema regulatorio en el campo financiero y el mercado de capitales, y envía una señal clara al mercado para fortalecer la supervisión, llevar completamente las actividades financieras a la supervisión de acuerdo con la ley. , y prevenir riesgos de forma eficaz. [2020/11/3 11:31:51]

2  Denegación de servicio distribuida

(DDOS)

Distributed Denial of Service Attack DDoS es una forma especial de ataque basada en Denial of Service (DoS). Es un método de ataque a gran escala distribuido y coordinado. Un solo ataque DoS generalmente adopta un método uno a uno, utiliza algunos defectos en los protocolos de red y sistemas operativos, y utiliza estrategias de engaño y camuflaje para llevar a cabo ataques de red, de modo que el servidor del sitio web se inunda con una gran cantidad de información. que requiere una respuesta, consumiendo ancho de banda de la red o recursos del sistema, provocando que la red o el sistema se sobrecarguen de modo que se paralice y deje de proporcionar los servicios de red normales. En comparación con el ataque DoS iniciado por un solo host, el ataque de denegación de servicio distribuido (DDoS) es un comportamiento grupal lanzado simultáneamente por cientos o incluso miles de hosts que han sido invadidos e instalados en el proceso de ataque. Los intercambios de divisas digitales a menudo son atacados por DDOS.

Gobernador del Banco Central, Yi Gang: La moneda digital aún está en pañales y el marco legal debe mejorarse: El 2 de noviembre, el Gobernador del Banco Popular de China, Yi Gang, señaló en la Semana de Tecnología Financiera de Hong Kong que el RMB digital ha completado la estructura diseño y actualmente se encuentra en fase de prueba, se aplicará primero en áreas piloto y se espera que se pruebe en los futuros Juegos Olímpicos de Invierno de Beijing. Señaló que hasta ahora, la fase piloto se ha desarrollado sin problemas y se ha utilizado en más de 12.000 lugares bajo el programa piloto, con más de 4 millones de transacciones, que corresponden a más de 2.000 millones de yuanes. El renminbi digital emitido por el banco central comenzó como una alternativa al efectivo en circulación y Yi Gang cree que el efectivo y el renminbi digital coexistirán en China en el futuro.

Sin embargo, señaló que el actual programa piloto de moneda digital aún está en pañales, y aún necesita un marco legal y reglamentario bastante complejo y completo, y enfatiza la transparencia del plan. En el futuro, trabajará con el centro internacional autoridades bancarias y reguladoras sobre el marco y la estabilidad de la moneda. [2020/11/2 11:25:53]

3 

(Ataque interno)

Los miembros de la bolsa se aprovechan de las lagunas en los procesos de seguridad interna de la empresa para vigilar y robar, o utilizan lagunas en los procesos y controles de seguridad para lanzar ataques después de salir de la bolsa.

4 Problemas de riesgo de seguridad de la API

Los intercambios generalmente abren API como consulta de pedido, consulta de saldo, transacción de precio de mercado, transacción de límite de precio, etc. Si la seguridad de la API no está bien administrada, los piratas informáticos pueden explotar las vulnerabilidades de seguridad de la API para robar fondos. Las posibles vulnerabilidades generales de seguridad de la API son las siguientes:

Noticias | Análisis global del mercado de divisas digitales: el tráfico de intercambio de China ocupa el quinto lugar en el mundo, el número 1 en los Estados Unidos: Kong Deyun, investigador principal de OK Group, publicó recientemente un informe que intenta evaluar el status quo de la actividad del mercado de divisas digitales en varios países a través del análisis comparativo de datos de varias dimensiones. A través del seguimiento a largo plazo de los cambios en el flujo de moneda digital en 185 países y 53 intercambios, el autor descubrió que los países TOP20 representaban el 74,74 % de la actividad global total, y los 165 países restantes en conjunto representaban el 25,26 %. El tráfico de divisas de China ocupa el quinto lugar en el mundo y el primero en los Estados Unidos. [2019/9/2]

(1) API sin autenticación

La API debe tener mecanismos de autenticación y autorización. Los mecanismos de autenticación y autorización estándar de la industria, como OAuth/OpenID Connect, así como Transport Layer Security (TLS), son fundamentales.

(2) Inyección de código

Esta amenaza se presenta de muchas formas, pero las más típicas son las inyecciones de SQL, RegEx y XML. La API debe diseñarse con una comprensión de estas amenazas y los esfuerzos realizados para evitarlas, y después de implementar la API, debe haber un monitoreo continuo para confirmar que no se han introducido vulnerabilidades en el entorno de producción.

(3) Datos sin cifrar

Puede que no sea suficiente confiar únicamente en HTTPS o TLS para cifrar los parámetros de datos de la API. Para los datos de privacidad personal y los datos relacionados con los fondos, es necesario agregar otra seguridad a nivel de la aplicación, como el enmascaramiento de datos, la tokenización de datos, el cifrado XML, etc.

Relatividad Dorada | Zhu Jiang: En comparación con las criptomonedas existentes, las monedas digitales del banco central son más convenientes para el pago: En la Teoría Dorada de la Relatividad celebrada hoy, sobre la pregunta de "¿cuáles son las diferencias entre las monedas digitales del banco central y las criptomonedas actualmente en discusión ", Zhu Jiang, gerente general del departamento de blockchain de Kingsoft Cloud, dijo que, en comparación con las criptomonedas existentes, la moneda digital del banco central es más conveniente para el pago y las criptomonedas son más anónimas. La criptomoneda no es adecuada para el pago, la razón principal es que es inestable y todos deben haber experimentado el mercado en los últimos dos días. Cualquier cosa que sea inestable no es apta para el pago, porque el precio cambia en el siguiente segundo de pago. La segunda diferencia con la criptomoneda es el reemplazo del efectivo M0, y la criptomoneda nace para subvertir el método de emisión de moneda centralizada. La circulación de efectivo tiene varias características, presencial, sin necesidad de un sistema de cuentas, anonimato, etc. También he estado pensando en cómo usar la moneda digital emitida por el banco central ¿Es posible tener una billetera electrónica en lugar de una cuenta bancaria? Si se pierde la billetera electrónica, es como perder efectivo y solo se puede recuperar a través de objetos perdidos y encontrados. Si la moneda digital del banco central debe ser completamente rastreable, no lo creo. [2019/8/15]

(4) Datos en URI

Si la clave API se transmite como parte del URI, puede ser pirateada. Cuando los detalles de URI aparecen en los registros del navegador o del sistema, los atacantes pueden obtener acceso a datos confidenciales, incluidas las claves API y los usuarios. Es una buena práctica enviar la clave API como el encabezado de autorización del mensaje, ya que al hacerlo se evita el registro por parte de la puerta de enlace.

Voz | Abogado defensor de las fuerzas del orden del gobierno de EE. UU.: En los Estados Unidos, las transacciones en moneda legal extranjera y moneda digital deben pagar impuestos: el abogado defensor de las fuerzas del orden del gobierno de los EE. UU. Jake Chervinsky dijo en las plataformas sociales: "En los Estados Unidos, usar moneda para comprar bienes y servicios (en otras palabras, pagar en dólares estadounidenses) bienes) no son eventos imponibles. Las transacciones en moneda extranjera y las criptomonedas son eventos imponibles en los Estados Unidos porque el IRS las clasifica como propiedad en lugar de moneda". [2018/9/17 ]

(5) API Token y API Secret no están bien protegidos

Si los piratas informáticos pueden obtener el token de API y el secreto de API de los clientes o incluso de los superusuarios, la seguridad de los fondos se convertirá en un problema.

Sin una detección efectiva del uso de la API, los piratas informáticos pueden usar la API para transferir múltiples cuentas y múltiples transacciones. Si la detección de seguridad en tiempo real de la API no puede juzgar este tipo de ataque, habrá pérdidas.

5  Problema de recarga falsa

(Recarga Falsa)

La recarga falsa se refiere al problema de la entrada incorrecta de la cuenta causada por la falta de una inspección rigurosa de la transacción cuando hay un error lógico en la cadena o cuando la cadena de intercambio está conectada y fuera de la cadena.

6  La billetera caliente del intercambio almacena demasiados fondos y se convierte en el objetivo de los piratas informáticos

La billetera caliente del intercambio almacena demasiados fondos y se convierte en el objetivo de los piratas informáticos. Este riesgo está relacionado con las lagunas en el sistema de TI relacionadas con la billetera caliente del intercambio, el uso de métodos de almacenamiento inseguros para almacenar claves privadas y bajo conciencia de seguridad. Los piratas informáticos utilizan métodos que incluyen, entre otros, los siguientes:

Phishing de enlace malicioso para recopilar información del usuario. Los piratas informáticos colocan enlaces maliciosos para guiar a los usuarios a hacer clic, a fin de recopilar las credenciales de inicio de sesión de los usuarios.

La base de datos fue atacada y se filtró la clave privada. La clave privada de la billetera caliente se almacena en la base de datos del intercambio. Los piratas informáticos atacan la base de datos y, después de obtener los datos de la base de datos, transfieren dinero a través de la clave privada almacenada en la base de datos.

Vulnerabilidades en los sistemas de TI. Hay lagunas en el propio sistema del intercambio.Después de que los piratas informáticos obtienen el control del sistema de TI a través de sus lagunas gratuitas, transfieren fondos directamente a través del sistema de TI.

Los empleados se cuidan a sí mismos. Los exempleados transfieren activos después de dejar la empresa por la puerta trasera dejada durante su empleo.

7 51% de ataque

(También se le puede llamar ataque de bifurcación dura o ataque de flor doble)

Ataque del 51 %, también conocido como ataque mayoritario. Este ataque es para lograr el doble gasto controlando la potencia de cómputo de la red. Si el atacante controla más del 50 % de la potencia informática de la red, puede revertir el bloqueo, realizar transacciones inversas y duplicar el gasto durante el tiempo que controla la potencia informática. Gaste dos veces la misma transacción o incluso revierta las transacciones históricas anteriores.

8 Manejo inseguro de archivos

Este riesgo está asociado con el manejo inseguro de los archivos. Incluyendo la descarga de enlaces o archivos adjuntos de correos electrónicos externos, que es un ataque de phishing en el sentido tradicional; también incluye que los archivos KYC (verificación de nombre real) cargados por los usuarios de intercambio no se han procesado de manera segura. Los códigos maliciosos se ocultan en imágenes. Este método también se denomina esteganografía. Los atacantes ocultan códigos maliciosos e instrucciones en imágenes aparentemente inofensivas para su ejecución. Este riesgo tiene cierta relación con el riesgo de APT. En términos generales, un solo correo electrónico no puede atacarlo, debe basarse en el correo electrónico y se pueden generar otras interacciones, como hacer clic en un enlace e ingresar contenido, ejecutar/abrir un archivo, cuando se requieren las acciones anteriores. , Hay un riesgo.

9 secuestro de dominio DNS 

(secuestro de nombre de dominio DNS)

El servicio DNS es el servicio básico de Internet. En la consulta de DNS, es necesario que haya interacción entre varios servidores. Todo el proceso de interacción depende del servidor para obtener la información correcta. En este proceso, la demanda de acceso puede ser secuestrada.

Hay varias formas de secuestrar los requisitos de acceso:

Usar lagunas en los protocolos de enrutamiento para secuestrar nombres de dominio DNS en la red. Como la vulnerabilidad del protocolo BGP (el protocolo BGP, para dos AS que han establecido con éxito una conexión BGP, básicamente creerá incondicionalmente la información enviada por el otro AS, incluido el rango de direcciones IP reclamado por la otra parte), interceptando el tráfico de la víctima, y devuelve la dirección DNS y el certificado incorrectos.

El secuestrador controla uno o más servidores autorizados para un nombre de dominio y devuelve un mensaje de error.

Envenenamiento de caché de servidor recursivo, una gran cantidad de datos venenosos se inyectan en el servidor recursivo, lo que resulta en la manipulación de la información correspondiente al nombre de dominio.

Invadir el sistema de registro de nombres de dominio, alterar los datos de nombres de dominio y engañar a los usuarios para que visiten.

Los ataques anteriores redirigirán el acceso del usuario a una dirección controlada por el secuestrador. Use un certificado falso para iniciar sesión de un usuario desconocido. Si el usuario ignora la advertencia de riesgo de certificado no válido del navegador y continúa iniciando transacciones, se robarán los fondos en la billetera.

10 Seguridad de terceros

Al utilizar servicios de terceros:

Fue pirateado porque el intercambio utilizó un servicio de terceros para configurarse incorrectamente;

El intercambio fue pirateado debido a las lagunas en el propio servicio de terceros;

El intercambio fue pirateado porque los servicios de terceros se utilizaron para phishing, envenenamiento y lanzamiento de caballos;

El intercambio fue pirateado porque el servicio de terceros fue pirateado.

[Autores originales] Deng Yongkai, Huang Lianjin, Tan Xiaosheng, Ye Zhenqiang, Yu Xiaoguang, Yu Xian (en orden alfabético)

[Expertos en auditoría]Chen Dahong, Zhao Yong

Tags：

ICP