HITCON創辦人徐千洋提醒,成立交易所後將面臨的資安風險,並分享加密貨幣交易所的安全性評估。

圖片來源: 

iThome

「加密貨幣火紅,但成立加密貨幣交易所,更是近年許多IT人員所熱烈討論的議題。」臺灣駭客年會(HITCON)創辦人徐千洋15日在臺灣資安大會揭露了,加密貨幣交易所面臨的資安風險,更分享如何正確評估加密貨幣交易所安全性的9項秘訣,他提醒,得好好評估,以免在投資時上當受騙,就像把錢丟到水里。

徐千洋首先比較3種常見的加密貨幣交易所類型,第一種是可用法幣購買加密貨幣、加密貨幣兌換成法幣的「法幣交易所」。由於法幣交易所牽扯到國家貨幣議題,容易面臨法律遵循與監管的問題,這類法幣交易所設立門檻高,所以,也出現了「幣幣交易所」,僅鎖定提供加密貨幣的交易,與既有法令較不衝突。另外還有一種「場外交易所」,這是當有兩位用戶想要交換貨幣,又不想透過交易所的場內機制,私下協議後可透過第三方加密貨幣交易所進行交易,網站的作用是代為保管與支付加密貨幣。

徐千洋指出,不少交易所被駭客盯上,傳統網站會碰上的安全問題,在交易所依然逃不過。OWASP(The Open Web Application Security Project)2017年歸納出的十大網路資安風險,包括注入攻擊、無效身分認證、敏感資料外洩、XML外部處理器漏洞、無效的存取控管、不安全的組態設定、跨站攻擊、不安全的反序列化漏洞、使用已有漏洞的元件、紀錄與監控不足風險,也都是交易所要面臨的威脅。

不過,他指出,DDoS(分散式阻斷服務)攻擊更是交易所最害怕的威脅。DDOS攻擊者會先測試能否影響交易所,若測試成功,則會發信勒索,恐嚇不付勒索金則將癱瘓交易所。另外,釣魚郵件的威脅也不可小覷,徐千洋提醒,日本知名加密貨幣交易所Coincheck今年1月底,就是因為內部員工打開了駭客寄來的釣魚郵件,才讓駭客入侵竊取了價值新臺幣154億元的加密貨幣;另外,若內部網站設計架構有問題,再加上客服人員缺乏相關訓練,都容易遭駭客誘騙而上當,所以,「強化客服人員的資安意識也是非常重要的環節。」他提醒。

徐千洋強調,成立加密貨幣交易所,不只是建立網站加上錢包系統就足夠,更困難的是要面對更多資安問題,首先是要考慮能不能因應DDoS攻擊,以及機房能不能負荷網站爆量流量。他建議,可將網站、錢包系統通通放上雲端,不過,雲端也不是萬靈丹,仍有其風險,交易所業者需評估自身的產業環境適不適合。另外,業者也可以分散風險,網站系統放上雲端,但錢包系統則留在機房,以利就近監控管理。

對一般有意投資的民眾而言,如何挑選加密貨幣交易所?徐千洋直言,不要上當、不要貪,別一昧為了獲利而失去判斷,要先看清楚再投資,否則等於把錢丟進水底。

徐千洋也提供了9項加密貨幣交易所安全評估建議,可作為投資人挑選時的參考。

1.先確定交易所是一家合法公司,公司登記所在地最好是開放交易所申請的國家,例如日本、新加坡。

2.可參考所有交易所當日交易量排名,前20者為佳,名次越前面,可信賴度越高。

3.聯繫交易所客服,以客服的反應來了解公司狀況,若不積極或是聯絡不上都要小心。

4.透過LinkedIn等類似網站,搜尋公司的經營團隊,或是有無招聘資安工程師的訊息,都可從中判別是否為空殼公司。

5.搜尋新聞,確認交易所是否遭駭,若被駭過1次,其信賴度是可以加分。因為交易所資安出過問題,才會投入更多預算,但若出現2次以上的資安問題,反而要小心。

6.是否有落實KYC(Know your customer)身分認證,若需要上傳照片、護照、身分證,甚至是要求開網路攝影機(Webcam)拍下近照,其信賴分數都會更高。

7.是否支援雙因素身分驗證(Two-Factor Authentication),若在登入、提幣、開啟API時都採用此驗證就能更加信賴。

8.有無參與或提供漏洞懸賞(Bug bounty)計畫,意思就是開放全球駭客找漏洞,以利漏洞能夠及時修補。此舉真正的意義是,這個交易所有專責資安人員,所以,對其信任感可再加分。

9.確認交易所是否有用CDN(Content Delivery Network)服務或將資料放上雲端,若有,服務穩定度會更高,投資人還可透過urlscan.io掃描服務來了解交易所網站做了哪些事情,例如確認是否暗中挖礦等等。

最後,徐千洋提到,許多的加密貨幣錢包、交易所都有資安需求,也知道臺灣工程師的品質很好,所以都會選擇來臺灣開交易所,但不見得是要來做生意,而是積極在臺找人才。而劍橋大學在一分2017年加密貨幣交易所的研究報告指出,所有交易所的員工有13%是資安人員,有17%的預算投入資安,顯現加密貨幣交易所對資安的重視。


Advertisement

更多 iThome相關內容