Que savez-vous des 10 principaux risques de sécurité liés aux incidents de sécurité liés aux échanges de devises numériques ?

Combien de risques de sécurité connaissez-vous sur les 10 principaux risques de sécurité des échanges de devises numériques ?

TOP10

L'équipe de sécurité Exchange du groupe de travail CSA GCR Blockchain Security a analysé les incidents de sécurité survenus sur les bourses au cours des dernières années et a résumé les dix principaux risques de sécurité en fonction de la fréquence des incidents de sécurité et du degré de perte en capital.

1 Menaces persistantes avancées

(APT : menace persistante avancée)

Description du risque

La menace persistante avancée (en anglais : Advanced Persistent Threat, abréviation : APT), également appelée menace persistante avancée, menace persistante avancée, etc., fait référence à un processus d'intrusion informatique caché et persistant, généralement soigneusement planifié par certains personnels, ciblant des cibles spécifiques. Il est généralement motivé par des raisons commerciales ou politiques, cible une organisation ou un pays spécifique et nécessite une grande furtivité pendant une longue période. Les menaces persistantes avancées se composent de trois éléments : Avancé, Persistant, Menace. Advanced met l'accent sur l'utilisation de logiciels malveillants et de techniques sophistiqués pour exploiter les vulnérabilités du système. Allusion à long terme à une force externe surveillant et obtenant constamment des données d'une cible particulière. Les menaces font référence aux attaques qui impliquent des humains dans la planification. La menace avancée à long terme des échanges de devises numériques est généralement que les pirates effectuent une collecte précise du processus métier et du système cible de la cible de l'attaque avant d'attaquer. Au cours du processus de collecte, cette attaque déterrera activement les vulnérabilités du système et de l'application de gestion d'identité de la cible, et utilisera le courrier électronique et d'autres méthodes de phishing pour installer des logiciels malveillants et attendra l'opportunité de mûrir, puis utilisera des vulnérabilités 0-day ou des processus d'échange. Vulnérabilités dans l'attaque. Les équipes de piratage APT bien connues ciblant les échanges de devises numériques incluent CryptoCore (également connu sous le nom de : Crypto-gang", "Dangerous Password", "Leery Turtle" a volé avec succès 200 millions de dollars américains) et Lazarus (500 millions USD volés).

Actualités | Le district de Futian de Shenzhen accélérera la construction de l'Institut de recherche sur la monnaie numérique de la Banque centrale : selon les informations du Securities Times du 22 septembre, il y a quelques jours, le district de Futian a tenu une réunion (élargie) du Comité permanent du Comité de district, proposant que Futian saisisse l'opportunité d'innovation et de développement financiers, et déclare activement le pays Le deuxième lot de zones expérimentales de réforme financière verte accélérera la construction de la "Bay Area International Financial Technology City" et du Digital Bank's Digital Currency Research Institute, et s'efforcent de mener des activités de commerce et d'investissement liées à l'étranger dans la zone de coopération, et de promouvoir l'innovation financière transfrontalière de manière ordonnée. [2019/9/23]

2  Déni de service distribué

(DDOS)

Attaque par déni de service distribué DDoS est une forme spéciale d'attaque basée sur le déni de service (DoS). Il s'agit d'une méthode d'attaque à grande échelle distribuée et coordonnée. Une attaque DoS unique adopte généralement une méthode un à un. Elle utilise certains défauts des protocoles réseau et des systèmes d'exploitation, et utilise des stratégies de tromperie et de camouflage pour mener des attaques réseau, de sorte que le serveur du site Web est inondé d'une grande quantité d'informations. qui nécessite une réponse, consomme de la bande passante du réseau ou des ressources système, provoquant une surcharge du réseau ou du système qui le paralyse et cesse de fournir les services réseau normaux. Par rapport à l'attaque DoS initiée par un seul hôte, l'attaque par déni de service distribué (DDoS) est un comportement de groupe lancé simultanément par des centaines voire des milliers d'hôtes qui ont été envahis et ont installé le processus d'attaque. Les échanges de devises numériques sont souvent attaqués par DDOS.

3 

Marché | Rapport sur le marché des devises numériques : Selon les données de la plateforme de trading Huobi, le dernier prix de transaction de BTC est de 9996,29 $, le prix le plus élevé est de 10186,59 $, le prix le plus bas est de 9905,5 $, le volume de transaction est de 14 400, soit une baisse de 0,44 % ; le Le dernier prix de transaction d'ETH est de 215,91 $, le prix le plus élevé Il a atteint 221,4 $ US, avec un prix minimum de 214,15 $ US et un chiffre d'affaires de 312 200, soit une baisse de 0,97 %.Le dernier prix de transaction d'EOS était de 3,9927 $ US, avec un prix le plus élevé de 4,0728 USD, un prix minimum de 3,8835 USD et un chiffre d'affaires de 9,7812 millions, soit une baisse de 0,39%. [2019/9/22]

(Attaque d'initié)

Les initiés de la bourse profitent des failles dans les processus de sécurité internes de l'entreprise pour surveiller et voler ; ou utilisent des failles dans les processus et les contrôles de sécurité pour lancer des attaques après avoir quitté la bourse.

4 Problèmes de risque de sécurité de l'API

Les échanges ouvrent généralement des API telles que la requête de commande, la requête de solde, la transaction de prix du marché, la transaction de limite de prix, etc. Si la sécurité de l'API n'est pas bien gérée, les pirates peuvent exploiter les vulnérabilités de sécurité de l'API pour voler des fonds. Les vulnérabilités de sécurité générales possibles de l'API sont les suivantes :

Marché | 39 des 100 principales devises numériques en valeur de marché ont augmenté de 60 et ont chuté de 1 : selon des données non restreintes, 39 des 100 principales devises numériques en valeur de marché ont augmenté de 60 et ont chuté de 1. Parmi elles, BTC a chuté de 0,07 % en 24 heures, et est maintenant à 3996,89 dollars. Le chiffre d'affaires sur 24h était de 2,986 milliards de dollars ; EOS a chuté de 0,72 % au cours des dernières 24 heures et s'établit désormais à 3,638 USD, avec un chiffre d'affaires sur 24 heures de 829 millions de dollars ; ETH a chuté de 0,22 % au cours des dernières 24 heures et se situe maintenant à 136,85 USD, avec un chiffre d'affaires sur 24 heures de 829 millions d'USD. [2019/3/24]

(1) API sans authentification

L'API doit disposer de mécanismes d'authentification et d'autorisation. Les mécanismes d'authentification et d'autorisation standard de l'industrie tels que OAuth/OpenID Connect, ainsi que Transport Layer Security (TLS) sont essentiels.

(2) Injection de code

Cette menace se présente sous plusieurs formes, mais les plus courantes sont les injections SQL, RegEx et XML. L'API doit être conçue avec une compréhension de ces menaces et des efforts déployés pour les éviter, et une fois l'API déployée, une surveillance continue doit être effectuée pour confirmer qu'aucune vulnérabilité n'a été introduite dans l'environnement de production.

(3) Données non chiffrées

Il ne suffit peut-être pas de s'appuyer uniquement sur HTTPS ou TLS pour chiffrer les paramètres de données de l'API. Pour les données de confidentialité personnelles et les données liées aux fonds, il est nécessaire d'ajouter d'autres sécurités au niveau de l'application, telles que le masquage des données, la tokénisation des données, le cryptage XML, etc.

Le financement en monnaie numérique devient une tendance de l'industrie : Selon le 21st Century Business Herald, certaines start-up nationales qui sont dans les cycles de financement B et C sont de plus en plus enclines à combiner la technologie blockchain pour lever des fonds par le biais de fonds d'investissement en monnaie numérique. C'est encore plus vrai dans les pays étrangers.Par exemple, de nombreuses start-up de la Silicon Valley qui ont terminé le cycle A de financement par actions, beaucoup d'entre elles choisissent la monnaie numérique + la monnaie fiduciaire dans le cycle B, ou même utilisent complètement la monnaie numérique pour financement. [2018/4/2]

(4) Données dans l'URI

Si la clé API est transmise dans le cadre de l'URI, elle peut être piratée. Lorsque les détails de l'URI apparaissent dans les journaux du navigateur ou du système, les attaquants peuvent accéder à des données sensibles, notamment des clés d'API et des utilisateurs. Il est recommandé d'envoyer la clé API en tant qu'en-tête d'autorisation de message, car cela évite la journalisation par la passerelle.

(5) Le jeton API et le secret API ne sont pas bien protégés

Si les pirates peuvent obtenir le jeton API et le secret API des clients ou même des super utilisateurs, la sécurité des fonds deviendra un problème.

Sans détection efficace de l'utilisation de l'API, les pirates peuvent utiliser l'API pour transférer plusieurs comptes et plusieurs transactions. Si la détection de sécurité en temps réel de l'API ne peut pas juger ce type d'attaque, il y aura des pertes.

La société de monnaie numérique Tether a accéléré l'émission d'USDT, sans craindre les assignations à comparaître de la CFTC : après qu'il a été révélé que la société de monnaie numérique Tether avait reçu une assignation à comparaître de la Commodity Futures Trading Commission des États-Unis le 6 décembre, la société n'a pas cessé d'émettre de nouveaux USDT, mais accéléré la vitesse d'émission, à l'heure actuelle, plus d'un tiers de l'offre totale d'USDT est générée après que Tether a reçu une assignation à comparaître. [2018/2/3]

5  Problème de fausse recharge

(Fausse recharge)

La fausse recharge fait référence au problème de saisie de compte incorrecte causée par le manque d'inspection rigoureuse de la transaction lorsqu'il y a une erreur de logique sur la chaîne ou lorsque la chaîne d'échange est connectée à et hors de la chaîne.

6  Le hot wallet de la bourse stocke trop de fonds et devient la cible des pirates

Le hot wallet de la bourse stocke trop de fonds et devient la cible des pirates.Ce risque est lié aux failles du système informatique liées au hot wallet de la bourse, à l'utilisation de méthodes de stockage non sécurisées pour stocker les clés privées, et à la faible sensibilisation à la sécurité. Les pirates utilisent des méthodes comprenant, mais sans s'y limiter, les suivantes :

Hameçonnage de liens malveillants pour collecter des informations sur les utilisateurs. Les pirates placent des liens malveillants pour guider les utilisateurs à cliquer, afin de collecter les identifiants de connexion des utilisateurs.

La base de données a été attaquée et la clé privée a été divulguée. La clé privée du hot wallet est stockée dans la base de données de l'échange.Les pirates attaquent la base de données et après avoir obtenu les données de la base de données, ils transfèrent de l'argent via la clé privée stockée dans la base de données.

Vulnérabilités des systèmes informatiques. Il existe des failles dans le propre système de la bourse.Une fois que les pirates ont pris le contrôle du système informatique grâce à ses failles gratuites, ils transfèrent des fonds directement via le système informatique.

Les employés se surveillent. Les anciens employés transfèrent des actifs après avoir quitté l'entreprise par la porte dérobée laissée pendant leur emploi.

7 51 % d'attaque

(Cela peut aussi être appelé une attaque de fourche dure ou une attaque de double fleur)

Attaque à 51 %, également appelée attaque majoritaire. Cette attaque consiste à réaliser une double dépense en contrôlant la puissance de calcul du réseau. Si l'attaquant contrôle plus de 50 % de la puissance de calcul du réseau, il peut inverser le blocage, effectuer des transactions inversées et réaliser une double dépense pendant le temps où il contrôle la puissance de calcul. Dépensez deux fois la même transaction ou même annulez les transactions historiques précédentes.

8 Gestion non sécurisée des fichiers

Ce risque est associé à une gestion non sécurisée des fichiers. Y compris le téléchargement de liens ou de pièces jointes d'e-mails externes, qui est une attaque de phishing au sens traditionnel ; cela inclut également que les fichiers KYC (vérification du nom réel) téléchargés par les utilisateurs de l'échange n'ont pas été traités en toute sécurité. Les codes malveillants sont cachés dans les images. Cette méthode est également appelée stéganographie. Les attaquants cachent les codes malveillants et les instructions dans des images apparemment inoffensives pour les exécuter. Ce risque a une certaine relation avec le risque d'APT. De manière générale, un seul e-mail ne peut pas vous attaquer, il doit être basé sur l'e-mail, et d'autres interactions peuvent être générées par-dessus, comme cliquer sur un lien et saisir du contenu, exécuter/ouvrir un fichier, lorsque les actions ci-dessus sont requises , il y a un risque.

9 Piratage de domaine DNS 

(piratage de nom de domaine DNS)

Le service DNS est le service de base d'Internet. Dans la requête DNS, il doit y avoir une interaction entre plusieurs serveurs. Tout le processus d'interaction dépend du serveur pour obtenir les informations correctes. Dans ce processus, la demande d'accès peut être détournée.

Il existe plusieurs façons de détourner les exigences d'accès :

Utilisation des failles dans les protocoles de routage pour détourner les noms de domaine DNS sur le réseau. Comme la vulnérabilité du protocole BGP (le protocole BGP, pour deux AS qui ont réussi à établir une connexion BGP, croira fondamentalement inconditionnellement les informations envoyées par l'autre AS, y compris la plage d'adresses IP revendiquée par l'autre partie), interceptant le trafic de la victime, et renvoie la mauvaise adresse DNS et le mauvais certificat.

Le pirate de l'air contrôle un ou plusieurs serveurs faisant autorité pour un nom de domaine et renvoie un message d'erreur.

Empoisonnement récursif du cache du serveur, une grande quantité de données toxiques est injectée dans le serveur récursif, entraînant une falsification des informations correspondant au nom de domaine.

Envahissez le système d'enregistrement des noms de domaine, falsifiez les données des noms de domaine et induisez les utilisateurs en erreur.

Les attaques ci-dessus redirigeront l'accès de l'utilisateur vers une adresse contrôlée par le pirate de l'air. Utilisez un faux certificat pour connecter un utilisateur inconnu. Si l'utilisateur ignore l'avertissement de risque d'invalidité du certificat du navigateur et continue à démarrer des transactions, les fonds du portefeuille seront volés.

10 Sécurité tierce

Lorsque vous utilisez des services tiers :

Il a été piraté parce que l'échange a utilisé un service tiers pour se configurer de manière incorrecte ;

L'échange a été piraté en raison des failles du service tiers lui-même ;

L'échange a été piraté parce que des services tiers étaient habitués au phishing, à l'empoisonnement et au lancer de chevaux ;

L'échange a été piraté parce que le service tiers a été piraté.

[Auteurs originaux] Deng Yongkai, Huang Lianjin, Tan Xiaosheng, Ye Zhenqiang, Yu Xiaoguang, Yu Xian (par ordre alphabétique)

[Experts en audit]Chen Dahong, Zhao Yong

Tags：

Cours Bitcoin USD