多年来,数字盗贼从各种交易所窃取了价值数百万美元的数字货币。近年来,数字货币市场吸引了大量的投资者,每个人都希望获得最高的回报,而一旦您的数字货币被窃取,您将无法获得退款,因为交易和资产没有任何形式的担保,这使得投资数字货币真的很危险。最大的数字货币交易所包含大量的数字现金。这些数字现金对黑客来说非常有吸引力。
如今, 有200多家加密交易所提供了服务, 而且这个数字还在不断增加, 因此, 一个交易所的落魄或黑客攻击不会像以前那样导致市场下跌, 此外, 许多国家开始引入对数字货币交易所的监管要求, 但仍无人完全受到保护,因此, 投资于可靠的资产, 使您的投资组合多样化, 并选择良好的数字货币交易所至关重要。
我们选择了日交易额超过10万美元的交易所; 名单上的交易所总数是130家。
报告将详细讨论以下问题:
与前一份报告相比,大多数参数都已修改,并增加了对前一份报告中未包括的已知攻击的检查。本报告由四节组成:
●用户安全
●域和注册安全
●网络安全
●DoS保护
用户安全
为了进行核查,在每一次交换中都建立了帐户,并利用下列参数,就确保用户帐户安全的程度进行了一次测试:
●在交换的内容中检查错误代码,这可能导致应用程序中的故障。
●能够创建一个弱密码。
●在证券交易所通过邮件确认操作。
●2 FA的可用性。
域名和注册商安全
检查与域和注册表相关的错误。检查了下列参数:
●锁是注册表中的一个特殊标记(不是您的注册机构),它阻止任何人在未与注册表进行带外通信的情况下对您的域进行更改。
●安全意识的组织通过使用角色帐户来注册他们的域名,避免这类私人信息泄露。角色帐户可以保护组织中的个人免受攻击者的攻击。
●建议高度关注的域名至少有6个月的过期窗口。这就有足够的馀地来处理不可预见的复杂情况,比如拥有离开公司的域的员工(这也是使用角色帐户的一个很好的理由)。
●DNSSEC通过对所有具有加密签名的DNS查询进行身份验证,消除了DNS缓存中毒的威胁。与盲目缓存DNS记录不同,DNS服务器将拒绝未经身份验证的响应。
网络安全
对网络安全进行了分析,这取决于交易所是否受到以下错误和攻击的保护,以及它们是否符合某些安全标准:
●HSTS攻击防护
HTTP严格传输-安全响应头(通常缩写为HSTS)允许网站告诉浏览器只能使用HTTPS访问它,而不是使用HTTP。
●劫持攻击防护
一种恶意的技术,欺骗一个网络用户点击一些与他们正在点击的内容不同的东西。
●磁盘下载攻击防护
从网上意外下载电脑软件。
●MITM攻击防护
一种攻击,攻击者秘密地改变双方之间的通信,相信他们是直接沟通的。
●POODLE攻击防护
一种利用某些浏览器处理加密方式的漏洞。
●Heartbleed攻击防护
导致内存内容从服务器泄漏到客户机,以及从客户端泄漏到服务器。
●脆弱性防护
允许对使用TLS服务器的私钥执行RSA解密和签名操作的漏洞。
●TLSv1.3
●HIPAA, pci dss, NIST合规指导。
DoS攻击防护
一种网络攻击,攻击者试图通过暂时或无限期地中断连接到Internet的主机的服务,使其目标用户无法使用计算机或网络资源。
统计及一般评级
●所有的交易所都没有受POODLE,Heartbleed和MITM攻击。
●1%的交易所不受Robot vulnerability防护。
●只有37%交易所受到HSTS header防护。
●60%的交易所受到 Clickjacking攻击防护。
●74%的交易所受到DoS攻击防护。
●只有16%的交易所属于A评级。没有一家交易所获得A+评级。
●Kraken排名第一,受到保护,免受大多数攻击。
130家交易所中只有21家达到A级,大多数交易所达到了B级,这意味着它们有一定的自我防御能力,免受大多数攻击,但有一些问题,没有一家交易所得到A+分,所以它们都不是非常理想的。