¿Cuánto sabe sobre los 10 principales riesgos de seguridad de los incidentes de seguridad de cambio de moneda digital?

¿Cuántos riesgos de seguridad conoce sobre los 10 principales riesgos de seguridad de los intercambios de divisas digitales?

TOP 10

El Equipo de seguridad de intercambio del Grupo de trabajo de seguridad de cadena de bloques de CSA GCR analizó los incidentes de seguridad que ocurrieron en los intercambios en los últimos años y resumió los diez principales riesgos de seguridad según la frecuencia de los incidentes de seguridad y el grado de pérdida de capital.

1 Amenazas persistentes avanzadas

(APT: amenaza persistente avanzada)

Descripción del riesgo

Amenaza Persistente Avanzada (en inglés: Advanced Persistent Threat, abreviatura: APT), también conocida como amenaza persistente avanzada, amenaza persistente avanzada, etc., se refiere a un proceso de intrusión informática oculto y persistente, generalmente planificado cuidadosamente por cierto personal, dirigido a objetivos específicos. Por lo general, tiene motivaciones comerciales o políticas, se dirige a una organización o país específico y requiere un alto sigilo durante un largo período de tiempo. Las amenazas persistentes avanzadas constan de tres elementos: Avanzada, Persistente, Amenaza. Advanced enfatiza el uso de malware y técnicas sofisticadas para explotar vulnerabilidades en el sistema. Alusión a largo plazo a una fuerza externa que constantemente monitorea y obtiene datos de un objetivo en particular. Las amenazas se refieren a ataques que involucran a humanos en la planificación. La amenaza avanzada a largo plazo de los intercambios de moneda digital es generalmente que los piratas informáticos realizan una recopilación precisa del proceso comercial y el sistema objetivo del ataque antes de atacar. Durante el proceso de recopilación, este ataque buscará activamente las vulnerabilidades de la aplicación y el sistema de administración de identidad del objetivo, y usará el correo electrónico y otros métodos de phishing para instalar malware y esperará la oportunidad de madurar, y luego usará vulnerabilidades de día cero o procesos de intercambio. Vulnerabilidades en el ataque. Los conocidos equipos de piratería de APT que se enfocan en los intercambios de moneda digital incluyen CryptoCore (también conocido como: Crypto-gang", "Dangerous Password", "Leery Turtle" robó con éxito 200 millones de dólares estadounidenses) y Lazarus (robó 500 millones de dólares).

CEO del desarrollador inmobiliario brasileño Gafisa: Bitcoin es la moneda con la tasa de soporte más alta de la historia: según las noticias del 27 de mayo, según el tweet de BitcoinMagazine, el CEO del desarrollador inmobiliario brasileño Gafisa dijo: “Bitcoin es la moneda con el mayor tasa de soporte en la historia. moneda ".

Según noticias anteriores, Gafisa (GFASY.US) anunció una asociación con el intercambio de criptomonedas Foxbit para comenzar a aceptar Bitcoin y otras criptomonedas como métodos de pago para compras de bienes raíces. [2022/5/27 3:46:20]

2  Denegación de servicio distribuida

(DDOS)

Distributed Denial of Service Attack DDoS es una forma especial de ataque basada en Denial of Service (DoS). Es un método de ataque a gran escala distribuido y coordinado. Un solo ataque DoS generalmente adopta un método uno a uno, utiliza algunos defectos en los protocolos de red y sistemas operativos, y utiliza estrategias de engaño y camuflaje para llevar a cabo ataques de red, de modo que el servidor del sitio web se inunda con una gran cantidad de información. que requiere una respuesta, consumiendo ancho de banda de la red o recursos del sistema, provocando que la red o el sistema se sobrecarguen de modo que se paralice y deje de proporcionar los servicios de red normales. En comparación con el ataque DoS iniciado por un solo host, el ataque de denegación de servicio distribuido (DDoS) es un comportamiento grupal lanzado simultáneamente por cientos o incluso miles de hosts que han sido invadidos e instalados en el proceso de ataque. Los intercambios de divisas digitales a menudo son atacados por DDOS.

3 

(Ataque interno)

Los miembros de la bolsa se aprovechan de las lagunas en los procesos de seguridad interna de la empresa para vigilar y robar, o utilizan lagunas en los procesos y controles de seguridad para lanzar ataques después de salir de la bolsa.

Datos: las tarifas de transacción de Bitcoin se han reducido en aproximadamente un 73% desde el 31 de octubre: Decrypt emitió un documento que dice que cuando el precio de Bitcoin aumenta, el costo de enviar Bitcoin generalmente aumenta. Sin embargo, aunque Bitcoin ahora se está acercando rápidamente a máximos históricos, las tarifas de transacción siguen siendo bajas, muy por debajo de los niveles observados durante el repunte de precios de 2017. Los datos de BitInfoCharts muestran que el costo promedio actual de una transacción de Bitcoin es de $3,5, que es un 73 % más bajo que el costo promedio de $13,15 el 31 de octubre. Los expertos creen que, si bien cada vez más personas compran bitcoins, no realizan transacciones, y las grandes empresas de tecnología como PayPal y MicroStrategy solo compran y mantienen bitcoins. Anteriormente, el 31 de octubre, las tarifas de transacción de Bitcoin aumentaron a su nivel más alto desde enero de 2018. [2020/11/25 22:00:45]

4 Problemas de riesgo de seguridad de la API

Los intercambios generalmente abren API como consulta de pedido, consulta de saldo, transacción de precio de mercado, transacción de límite de precio, etc. Si la seguridad de la API no está bien administrada, los piratas informáticos pueden explotar las vulnerabilidades de seguridad de la API para robar fondos. Las posibles vulnerabilidades generales de seguridad de la API son las siguientes:

(1) API sin autenticación

La API debe tener mecanismos de autenticación y autorización. Los mecanismos de autenticación y autorización estándar de la industria, como OAuth/OpenID Connect, así como Transport Layer Security (TLS), son fundamentales.

(2) Inyección de código

Esta amenaza se presenta de muchas formas, pero las más típicas son las inyecciones de SQL, RegEx y XML. La API debe diseñarse con una comprensión de estas amenazas y los esfuerzos realizados para evitarlas, y después de implementar la API, debe haber un monitoreo continuo para confirmar que no se han introducido vulnerabilidades en el entorno de producción.

El total actual de posiciones de contrato de red de BTC es de 2899 millones de dólares estadounidenses, una disminución de 41 millones de dólares estadounidenses en 24 horas: según el informe de posición de contrato, el total actual de posiciones de contrato de red es de 2899 millones de dólares estadounidenses, una disminución de 72 millones de dólares estadounidenses. dólares en 24 horas. Entre ellos, el contrato de Huobi fue de US$697 millones, un aumento de 0,58% en 24 horas; el contrato de OKEx fue de US$738 millones, una disminución de 4,33% en 24 horas; el contrato de BitMEX fue de US$723 millones, un aumento de 0,5% en 24 horas; el contrato de Binance fue de US$412 millones, un incremento de 0.85% en 24 horas; el contrato de Bybit es de $327 millones, una disminución de 3.91% en 24 horas. [2020/8/28]

(3) Datos sin cifrar

Puede que no sea suficiente confiar únicamente en HTTPS o TLS para cifrar los parámetros de datos de la API. Para los datos de privacidad personal y los datos relacionados con los fondos, es necesario agregar otra seguridad a nivel de la aplicación, como el enmascaramiento de datos, la tokenización de datos, el cifrado XML, etc.

(4) Datos en URI

Si la clave API se transmite como parte del URI, puede ser pirateada. Cuando los detalles de URI aparecen en los registros del navegador o del sistema, los atacantes pueden obtener acceso a datos confidenciales, incluidas las claves API y los usuarios. Es una buena práctica enviar la clave API como el encabezado de autorización del mensaje, ya que al hacerlo se evita el registro por parte de la puerta de enlace.

(5) API Token y API Secret no están bien protegidos

Si los piratas informáticos pueden obtener el token de API y el secreto de API de los clientes o incluso de los superusuarios, la seguridad de los fondos se convertirá en un problema.

Sin una detección efectiva del uso de la API, los piratas informáticos pueden usar la API para transferir múltiples cuentas y múltiples transacciones. Si la detección de seguridad en tiempo real de la API no puede juzgar este tipo de ataque, habrá pérdidas.

5  Problema de recarga falsa

(Recarga Falsa)

La recarga falsa se refiere al problema de la entrada incorrecta de la cuenta causada por la falta de una inspección rigurosa de la transacción cuando hay un error lógico en la cadena o cuando la cadena de intercambio está conectada y fuera de la cadena.

6  La billetera caliente del intercambio almacena demasiados fondos y se convierte en el objetivo de los piratas informáticos

La billetera caliente del intercambio almacena demasiados fondos y se convierte en el objetivo de los piratas informáticos. Este riesgo está relacionado con las lagunas en el sistema de TI relacionadas con la billetera caliente del intercambio, el uso de métodos de almacenamiento inseguros para almacenar claves privadas y bajo conciencia de seguridad. Los piratas informáticos utilizan métodos que incluyen, entre otros, los siguientes:

Phishing de enlace malicioso para recopilar información del usuario. Los piratas informáticos colocan enlaces maliciosos para guiar a los usuarios a hacer clic, a fin de recopilar las credenciales de inicio de sesión de los usuarios.

La base de datos fue atacada y se filtró la clave privada. La clave privada de la billetera caliente se almacena en la base de datos del intercambio. Los piratas informáticos atacan la base de datos y, después de obtener los datos de la base de datos, transfieren dinero a través de la clave privada almacenada en la base de datos.

Vulnerabilidades en los sistemas de TI. Hay lagunas en el propio sistema del intercambio.Después de que los piratas informáticos obtienen el control del sistema de TI a través de sus lagunas gratuitas, transfieren fondos directamente a través del sistema de TI.

Los empleados se cuidan a sí mismos. Los exempleados transfieren activos después de dejar la empresa por la puerta trasera dejada durante su empleo.

7 51% de ataque

(También se le puede llamar ataque de bifurcación dura o ataque de flor doble)

Ataque del 51 %, también conocido como ataque mayoritario. Este ataque es para lograr el doble gasto controlando la potencia de cómputo de la red. Si el atacante controla más del 50 % de la potencia informática de la red, puede revertir el bloqueo, realizar transacciones inversas y duplicar el gasto durante el tiempo que controla la potencia informática. Gaste dos veces la misma transacción o incluso revierta las transacciones históricas anteriores.

8 Manejo inseguro de archivos

Este riesgo está asociado con el manejo inseguro de los archivos. Incluyendo la descarga de enlaces o archivos adjuntos de correos electrónicos externos, que es un ataque de phishing en el sentido tradicional; también incluye que los archivos KYC (verificación de nombre real) cargados por los usuarios de intercambio no se han procesado de manera segura. Los códigos maliciosos se ocultan en imágenes. Este método también se denomina esteganografía. Los atacantes ocultan códigos maliciosos e instrucciones en imágenes aparentemente inofensivas para su ejecución. Este riesgo tiene cierta relación con el riesgo de APT. En términos generales, un solo correo electrónico no puede atacarlo, debe basarse en el correo electrónico y se pueden generar otras interacciones, como hacer clic en un enlace e ingresar contenido, ejecutar/abrir un archivo, cuando se requieren las acciones anteriores. , Hay un riesgo.

9 secuestro de dominio DNS 

(secuestro de nombre de dominio DNS)

El servicio DNS es el servicio básico de Internet. En la consulta de DNS, es necesario que haya interacción entre varios servidores. Todo el proceso de interacción depende del servidor para obtener la información correcta. En este proceso, la demanda de acceso puede ser secuestrada.

Hay varias formas de secuestrar los requisitos de acceso:

Usar lagunas en los protocolos de enrutamiento para secuestrar nombres de dominio DNS en la red. Como la vulnerabilidad del protocolo BGP (el protocolo BGP, para dos AS que han establecido con éxito una conexión BGP, básicamente creerá incondicionalmente la información enviada por el otro AS, incluido el rango de direcciones IP reclamado por la otra parte), interceptando el tráfico de la víctima, y devuelve la dirección DNS y el certificado incorrectos.

El secuestrador controla uno o más servidores autorizados para un nombre de dominio y devuelve un mensaje de error.

Envenenamiento de caché de servidor recursivo, una gran cantidad de datos venenosos se inyectan en el servidor recursivo, lo que resulta en la manipulación de la información correspondiente al nombre de dominio.

Invadir el sistema de registro de nombres de dominio, alterar los datos de nombres de dominio y engañar a los usuarios para que visiten.

Los ataques anteriores redirigirán el acceso del usuario a una dirección controlada por el secuestrador. Use un certificado falso para iniciar sesión con un usuario desconocido. Si el usuario ignora la advertencia de riesgo de certificado no válido del navegador y continúa iniciando transacciones, se robarán los fondos en la billetera.

10 Seguridad de terceros

Al utilizar servicios de terceros:

Fue pirateado porque el intercambio utilizó un servicio de terceros para configurarse incorrectamente;

El intercambio fue pirateado debido a las lagunas en el propio servicio de terceros;

El intercambio fue pirateado porque los servicios de terceros se utilizaron para phishing, envenenamiento y lanzamiento de caballos;

El intercambio fue pirateado porque el servicio de terceros fue pirateado.

[Autores originales] Deng Yongkai, Huang Lianjin, Tan Xiaosheng, Ye Zhenqiang, Yu Xiaoguang, Yu Xian (en orden alfabético)

[Expertos en auditoría]Chen Dahong, Zhao Yong

Tags：

XMR