多年來，黑客已經(jīng)從多個(gè)交易所盜走了價(jià)值數(shù)百萬美元的數(shù)字貨幣。數(shù)字貨幣市場(chǎng)吸引了大量的人才。投資者和其他人都希望獲得最高回報(bào)，并且不會(huì)被任何人影響。

一旦您的數(shù)字貨幣被盜，您將無法獲得退款，交易和資產(chǎn)也得不到任何保護(hù)，這使得投資數(shù)字貨幣真的很危險(xiǎn)。大量的數(shù)字貨幣交易涵蓋了大量的數(shù)字現(xiàn)金。這些事實(shí)因素對(duì)黑客很有吸引力。

在過去的8年里，大約有31個(gè)數(shù)字貨幣交易所被黑客攻擊，而且有的交易所被盜多次。有超過10億美元的數(shù)字貨幣（實(shí)際上是13億美元）被盜了。一些數(shù)字貨幣交易所從中學(xué)習(xí)到了經(jīng)驗(yàn)，并設(shè)法恢復(fù)挽回?fù)p失，其他大多數(shù)被盜的交易所都破產(chǎn)了。像Mt.Gox，Bitcoinica，PicoStocks，Bitcurex，甚至遭到黑客的多次攻擊。

今天，超過200個(gè)數(shù)字貨幣交易所向客戶提供他們的服務(wù)，這個(gè)數(shù)字是不斷的變化的。因此，一個(gè)交易所的數(shù)字貨幣下跌或遭到黑客攻擊不會(huì)導(dǎo)致交易量下降。市場(chǎng)，就像以前一樣，許多國家也開始這樣做了，引入數(shù)字貨幣交易所的監(jiān)管要求，但仍然不是所有得投資者都能受到充分的保護(hù)從而失去他們的資產(chǎn)。因此，我們應(yīng)該吸取經(jīng)驗(yàn)，投資可靠的資產(chǎn)，多樣化您的組合并選擇好的數(shù)字貨幣交易所。

在準(zhǔn)備此安全評(píng)級(jí)時(shí)，我們已經(jīng)評(píng)估了安全措施，以下可能對(duì)交易所及其用戶產(chǎn)生負(fù)面影響的潛在漏洞。

該報(bào)告將詳細(xì)討論以下問題：

? 控制臺(tái)錯(cuò)誤

? 用戶帳戶安全

? 注冊(cè)商和域名安全

? Web協(xié)議安全性

我們選擇日交易額超過100萬美元的交易所; 名單上的交易所有100家。

控制臺(tái)錯(cuò)誤

代碼中的這些錯(cuò)誤可能導(dǎo)致某些系統(tǒng)出現(xiàn)故障，從而導(dǎo)致系統(tǒng)崩潰給用戶帶來問題。然而，這種類型的漏洞通常并不重要，更需要考慮的是，這些漏洞給用戶帶來的損失。

? 對(duì)此類漏洞既沒有安全措施也沒有警告用戶的交易所：49％

? 交易所沒有漏洞：68％

結(jié)論：32％的交易所存在代碼錯(cuò)誤，會(huì)導(dǎo)致用戶出現(xiàn)某些操作缺陷。

用戶帳戶安全

已在每個(gè)交易所創(chuàng)建單獨(dú)的帳戶。以下參數(shù)評(píng)估：

1、創(chuàng)建少于8個(gè)符號(hào)的密碼的可能性

2、單獨(dú)使用數(shù)字或字母創(chuàng)建密碼的可能性

3、帳戶創(chuàng)建后立即進(jìn)行電子郵件驗(yàn)證

4、2FA的存在與否

評(píng)估結(jié)果如下：

? 41％的交易所允許少于8個(gè)符號(hào)的密碼

? 37％的交易所允許使用數(shù)字或字母密碼

? 5％的交易所允許創(chuàng)建帳戶而無需電子郵件驗(yàn)證

? 3％的交易所缺乏2FA

? 只有46％的交易所滿足所有四個(gè)參數(shù)

注冊(cè)商和域名安全

我們使用了cloudflare平臺(tái)（？https：//www.cloudflare.com/domain-security-check？），檢查這些交易所是否存在與其注冊(cè)商和域名相關(guān)的漏洞：

1、注冊(cè)表鎖？;注冊(cè)表鎖定是注冊(cè)表中的一個(gè)特殊標(biāo)志（不是注冊(cè)表），它阻止任何人在沒有與注冊(cè)表進(jìn)行帶外通信的情況下對(duì)您的域進(jìn)行更改。

2、注冊(cè)商鎖；注冊(cè)商鎖定（不要與注冊(cè)表鎖混淆）可以防止這種情況發(fā)生通過要求更改auth代碼而不僅僅需要域名劫持全球登記處的信息。

3、角色賬戶；注重安全的組織避免泄露這種私人使用角色帳戶注冊(cè)其域名的信息。角色帳戶保護(hù)組織中的個(gè)人不被攻擊者作為目標(biāo)。

4、期限；我們建議至少有6個(gè)月的有效期限。這為處理不可預(yù)見的復(fù)雜問題留下足夠余地，例如擁有該域名的員工離開公司（同樣，這是一個(gè)使用角色賬戶很好的理由）。

5、DNSSEC;DNSSEC通過使用加密簽名驗(yàn)證所有DNS查詢來消除DNS緩存中毒的威脅。 DNS服務(wù)器將拒絕未經(jīng)身份驗(yàn)證的響應(yīng)，而不是盲目緩存DNS記錄。

每個(gè)項(xiàng)目有三種可能的結(jié)果：上面的所有項(xiàng)目都正確運(yùn)行（1），無正常運(yùn)行（0），警告（0.5）。評(píng)估結(jié)果如下：

? 只有2％的交易所使用注冊(cè)表鎖定

? 只有10％的交易所使用DNSSEC

? 沒有交易所有五個(gè)問題都涉及到

? 只有4％的交易所在這5個(gè)領(lǐng)域中使用到了4個(gè)

Web協(xié)議安全性

我們已經(jīng)檢查了接受審查的交易所是否具有能確保防范各種攻擊的標(biāo)頭。我們使用了以下資源：https://www.htbridge.com/websec/根據(jù)交易所是否具有該協(xié)議，它的評(píng)分是1或0。我們檢查了以下標(biāo)頭

如下：

1、嚴(yán)格傳輸安全標(biāo)頭（http -嚴(yán)格傳輸安全（HSTS）標(biāo)頭強(qiáng)制瀏覽器以HTTPS瀏覽網(wǎng)站）。

2、x - xss保護(hù)頭（x - xss保護(hù)定義了瀏覽器應(yīng)該如何執(zhí)行跨站點(diǎn)腳本保護(hù)）

3、內(nèi)容安全策略頭（Content-Security-Policy， CSP）支持為每種類型的內(nèi)容定義允許的源，幫助抵御XSS攻擊。

它還允許定義一些瀏覽器行為，例如沙箱強(qiáng)制，以發(fā)送到HTTP引用頭中的值。

4、X-frame-options標(biāo)頭（X-frame-opTIons標(biāo)頭指定是否為網(wǎng)站應(yīng)該允許自己被框起，并從哪個(gè)起源。阻止框架有助于抵御點(diǎn)擊劫持等攻擊。）

5。X-content-type-opTIons標(biāo)頭（X-content-type-opTIons可以引導(dǎo)瀏覽器禁用嗅探頁面內(nèi)容類型的功能，并且只使用指令本身中定義的內(nèi)容類型。這提供了對(duì)XSS或免下車下載的保護(hù)攻擊。）

評(píng)估結(jié)果如下：

? 只有10％的交易所擁有全部五個(gè)標(biāo)頭

? 29％的交易所沒有上述標(biāo)頭

? 只有17個(gè)交易所具有內(nèi)容安全策略標(biāo)頭

一般交易所安全評(píng)分

根據(jù)上述類別分析了所選擇的交易所使用以下評(píng)分系統(tǒng)：

? 控制臺(tái)錯(cuò)誤：每個(gè)類別最多5個(gè)點(diǎn)，分析2個(gè)參數(shù)

? 用戶帳戶安全：最多18個(gè)點(diǎn)，分析4個(gè)參數(shù)

? 注冊(cè)商和域名安全：最多34個(gè)點(diǎn)，分析5個(gè)參數(shù)

? Web協(xié)議安全性：最多43個(gè)點(diǎn)，分析5個(gè)參數(shù)

總計(jì)以上最高得分為100分