多年來，數(shù)字盜賊從各種交易所竊取了價值數(shù)百萬美元的數(shù)字貨幣。近年來，數(shù)字貨幣市場吸引了大量的投資者，每個人都希望獲得最高的回報，而一旦您的數(shù)字貨幣被竊取，您將無法獲得退款，因為交易和資產(chǎn)沒有任何形式的擔保，這使得投資數(shù)字貨幣真的很危險。最大的數(shù)字貨幣交易所包含大量的數(shù)字現(xiàn)金。這些數(shù)字現(xiàn)金對黑客來說非常有吸引力。

如今， 有200多家加密交易所提供了服務(wù)， 而且這個數(shù)字還在不斷增加， 因此， 一個交易所的落魄或黑客攻擊不會像以前那樣導(dǎo)致市場下跌， 此外， 許多國家開始引入對數(shù)字貨幣交易所的監(jiān)管要求， 但仍無人完全受到保護，因此， 投資于可靠的資產(chǎn)， 使您的投資組合多樣化， 并選擇良好的數(shù)字貨幣交易所至關(guān)重要。

我們選擇了日交易額超過10萬美元的交易所; 名單上的交易所總數(shù)是130家。

報告將詳細討論以下問題：

與前一份報告相比，大多數(shù)參數(shù)都已修改，并增加了對前一份報告中未包括的已知攻擊的檢查。本報告由四節(jié)組成：

●用戶安全

●域和注冊安全

●網(wǎng)絡(luò)安全

●DoS保護

用戶安全

為了進行核查，在每一次交換中都建立了帳戶，并利用下列參數(shù)，就確保用戶帳戶安全的程度進行了一次測試：

●在交換的內(nèi)容中檢查錯誤代碼，這可能導(dǎo)致應(yīng)用程序中的故障。

●能夠創(chuàng)建一個弱密碼。

●在證券交易所通過郵件確認操作。

●2 FA的可用性。

域名和注冊商安全

檢查與域和注冊表相關(guān)的錯誤。檢查了下列參數(shù)：

●鎖是注冊表中的一個特殊標記（不是您的注冊機構(gòu)），它阻止任何人在未與注冊表進行帶外通信的情況下對您的域進行更改。

●安全意識的組織通過使用角色帳戶來注冊他們的域名，避免這類私人信息泄露。角色帳戶可以保護組織中的個人免受攻擊者的攻擊。

●建議高度關(guān)注的域名至少有6個月的過期窗口。這就有足夠的馀地來處理不可預(yù)見的復(fù)雜情況，比如擁有離開公司的域的員工（這也是使用角色帳戶的一個很好的理由）。

●DNSSEC通過對所有具有加密簽名的DNS查詢進行身份驗證，消除了DNS緩存中毒的威脅。與盲目緩存DNS記錄不同，DNS服務(wù)器將拒絕未經(jīng)身份驗證的響應(yīng)。

網(wǎng)絡(luò)安全

對網(wǎng)絡(luò)安全進行了分析，這取決于交易所是否受到以下錯誤和攻擊的保護，以及它們是否符合某些安全標準：

●HSTS攻擊防護

HTTP嚴格傳輸-安全響應(yīng)頭（通?？s寫為HSTS）允許網(wǎng)站告訴瀏覽器只能使用HTTPS訪問它，而不是使用HTTP。

●劫持攻擊防護

一種惡意的技術(shù)，欺騙一個網(wǎng)絡(luò)用戶點擊一些與他們正在點擊的內(nèi)容不同的東西。

●磁盤下載攻擊防護

從網(wǎng)上意外下載電腦軟件。

●MITM攻擊防護

一種攻擊，攻擊者秘密地改變雙方之間的通信，相信他們是直接溝通的。

●POODLE攻擊防護

一種利用某些瀏覽器處理加密方式的漏洞。

●Heartbleed攻擊防護

導(dǎo)致內(nèi)存內(nèi)容從服務(wù)器泄漏到客戶機，以及從客戶端泄漏到服務(wù)器。

●脆弱性防護

允許對使用TLS服務(wù)器的私鑰執(zhí)行RSA解密和簽名操作的漏洞。

●TLSv1.3

●HIPAA， pci dss， NIST合規(guī)指導(dǎo)。

DoS攻擊防護

一種網(wǎng)絡(luò)攻擊，攻擊者試圖通過暫時或無限期地中斷連接到Internet的主機的服務(wù)，使其目標用戶無法使用計算機或網(wǎng)絡(luò)資源。

統(tǒng)計及一般評級

●所有的交易所都沒有受POODLE，Heartbleed和MITM攻擊。

●1%的交易所不受Robot vulnerability防護。

●只有37%交易所受到HSTS header防護。

●60%的交易所受到 Clickjacking攻擊防護。

●74%的交易所受到DoS攻擊防護。

●只有16%的交易所屬于A評級。沒有一家交易所獲得A+評級。

●Kraken排名第一，受到保護，免受大多數(shù)攻擊。

130家交易所中只有21家達到A級，大多數(shù)交易所達到了B級，這意味著它們有一定的自我防御能力，免受大多數(shù)攻擊，但有一些問題，沒有一家交易所得到A+分，所以它們都不是非常理想的。