BM电报群谈EOS假充值 若交易所遇上会怎么做?

据WhaleEx资讯消息,13日晚间,BM携慢雾EOS假充值分析文章再度现身电报群,并表示,这些实施假充值的账户应该被加入黑名单,如果他能主宰某条链的话,他将会把所有企图损害他人利益的账户加入黑名单。有人质疑黑名单制度治标不治本,BM回答:创建每个账户都需要成本,并补充:EOS有BFT安全黑名单监听,名字叫s changing Key。

针对交易所,他提出以下安全措施:

1.任何第一次充值的,账户需要冻结3天;

2.默认每个EOS账户都会永久对应一个交易所账户;

3.任何一个在过去一周修改过所有者密钥的账户,应该重点专注;

4.更加普遍的打分系统,来划定可能存在攻击的等级;

5.数据驱动,调取其链上操作信息,研究其行为模

BM电报群谈EOS假充值 若交易所遇上会怎么做?

交易所遇上“假充值”一般都怎么做?

实际上,在EOS“假充值”,早有不少交易所曾遭遇过USDT“假充值”漏洞攻击,随后几个月内,ETH、XRP、XMR等币种先后被相中,成为黑客发起“假充值”攻击的对象。据不完全统计,当初仅以太坊网络上的代币合约就有3619份存在“假充值”漏洞风险,基于以太坊网络ERC20、ERC721等标准的各种代币都受到影响。去中心化交易所Bancor因此被盗了价值约1200万美元ETH、约100万美元Pundi X以及约1000万美元的BNT。

“假充值”本质其实就是一种“空手套白狼”的行为,黑客利用交易所充值漏洞把钱包中并不存在的加密货币存入交易所账号,再通过交易套现或者套成其它币种并将其转走。部分交易所可能存在仅根据交易回执状态和链上确认次数对交易结果作判断,忽略了对账户实际状态的检查。但事实上,这里的交易回执状态显示成功仅仅表明上链成功,并不代表完成了实际转账,如果交易所据此承认该笔转账就会产生虚假转账问题。除此之外,还有些交易所的充值校验代码并不严谨,黑客只需在客户端代码上稍动手脚就可以使无效交易变得有效。

面对黑客的“假充值”攻击,交易所除了定期排查代码漏洞,基本就是处于被动状态。到目前为止出现的这么多次“假充值”事件中,基本也都是某个安全团队发出预警,交易所随后对合约及代码漏洞进行检验和排查,最后的结果往往都是以一句“交易所资产不受影响”作结。过于被动的防守措施对交易所来说显然不够安全,那么BM这次对交易所提出的安全措施是否可以为“假充值”攻击问题提供根本有效的解决方案呢?

BM的建议对交易所来说实际可行吗?

BM昨晚提出的交易所安全措施建议部分其实是一些很细节却工作量很大的建议,且实施难度并不小。“用更普遍的打分系统划定可能存在攻击的等级”以及“数据驱动,调取其链上操作信息,研究其行为模式”这两项建议算是相对而言较易实现的,只是打分系统如何规定、哪些行为模式需要更进一步的研究都是仍需探讨和研究的细节。

至于剩下的三点建议都会在一定程度上对交易效率和交易方便造成影响。第一次充值账户冻结3天无疑会是交易所用户量提升的一大阻碍,新用户对加密货币的投资有一部分对加密货币其实都是抱着尝试的心态,繁琐的开户以及开始交易的过程很容易消磨新用户对加密货币投资的兴趣。再加上加密货币的市场行情无疑是变幻莫测的,三天的新账户冻结期间,加密货币市场无论是涨是跌都可能直接影响用户的投资决心。“每个EOS账户都会永久对应一个交易所账户”以及“重点关注一周内修改过所有者密钥的账户”,则会对加密货币投资老手的操作带来不便,但在安全性威胁下,多数投资者或许会接受这项限制,只是这两项工作对交易所用户管理方面工作的要求无疑会有所提高。

目前,多数交易所在防范安全隐患过程中,一般只会考虑以下三点:

首先是基础设施的安全保护,其中包括主机、域名、CDN等底层服务的安全,网络设备、操作系统平台的安全,访问控制和权限管理,以及各种对外接口的安全管控等。其次是一套完善的加密货币风控系统,包括冷热钱包隔离存储、交易所分库设计、资产异常报警、风险事件监控、资产流转支持回溯、平台数据监控等功能的完善。最后则是比较难控制的运营风险,包括KYC流程、充提币等与用户信息与资产相关的安全把控。

比起BM提出的要求更高、更为细致的安全措施,以上三条才是交易所目前所会做的基础安全措施,只是从攻击漏洞频出的情况来看,许多交易所连这样的基础安全措施都做得并不完善。没有技术是绝对安全的,也没有代码是完美无漏洞的,区块链领域也不例外。然而,作为管理着大量用户资产的交易所,没有安全哪来的用户,因此,如何建立健全的安全审查制度、如何在漏洞出现时及时补救解决才应该是交易所运营工作中最为重要的。

发表评论