【臺灣資安大會直擊】HITCON創辦人徐千洋：一封釣魚信偷走日本交易所百億營收，如何挑選安全的加密貨幣交易所，靠這9項原則

想成立加密貨幣交易所？HITCON創辦人、臺灣駭客協會理事長徐千洋在臺灣資安大會提醒，成立交易所後會面臨的資安風險，更進一步分享如何正確評估加密貨幣交易所的安全性。（圖片來源／iThome）。

「加密貨幣火紅，但成立加密貨幣交易所，更是近年許多IT人員所熱烈討論的議題。」臺灣駭客年會（HITCON）創辦人徐千洋15日在臺灣資安大會揭露了，加密貨幣交易所面臨的資安風險，更分享如何正確評估加密貨幣交易所安全性的9項秘訣，他提醒，得好好評估，以免在投資時上當受騙，就像把錢丟到水里。

徐千洋首先比較3種常見的加密貨幣交易所類型，第一種是可用法幣購買加密貨幣、加密貨幣兌換成法幣的「法幣交易所」。由於法幣交易所牽扯到國家貨幣議題，容易面臨法律遵循與監管的問題，這類法幣交易所設立門檻高，所以，也出現了「幣幣交易所」，僅鎖定提供加密貨幣的交易，與既有法令較不衝突。另外還有一種「場外交易所」，這是當有兩位用戶想要交換貨幣，又不想透過交易所的場內機制，私下協議後可透過第三方加密貨幣交易所進行交易，網站的作用是代為保管與支付加密貨幣。

徐千洋指出，不少交易所被駭客盯上，傳統網站會碰上的安全問題，在交易所依然逃不過。OWASP（The Open Web Application Security Project）2017年歸納出的十大網路資安風險，包括注入攻擊、無效身分認證、敏感資料外洩、XML外部處理器漏洞、無效的存取控管、不安全的組態設定、跨站攻擊、不安全的反序列化漏洞、使用已有漏洞的元件、紀錄與監控不足風險，也都是交易所要面臨的威脅。

不過，他指出，DDoS（分散式阻斷服務）攻擊更是交易所最害怕的威脅。DDOS攻擊者會先測試能否影響交易所，若測試成功，則會發信勒索，恐嚇不付勒索金則將癱瘓交易所。另外，釣魚郵件的威脅也不可小覷，徐千洋提醒，日本知名加密貨幣交易所Coincheck今年1月底，就是因為內部員工打開了駭客寄來的釣魚郵件，才讓駭客入侵竊取了價值新臺幣154億元的加密貨幣；另外，若內部網站設計架構有問題，再加上客服人員缺乏相關訓練，都容易遭駭客誘騙而上當，所以，「強化客服人員的資安意識也是非常重要的環節。」他提醒。

徐千洋強調，成立加密貨幣交易所，不只是建立網站加上錢包系統就足夠，更困難的是要面對更多資安問題，首先是要考慮能不能因應DDoS攻擊，以及機房能不能負荷網站爆量流量。他建議，可將網站、錢包系統通通放上雲端，不過，雲端也不是萬靈丹，仍有其風險，交易所業者需評估自身的產業環境適不適合。另外，業者也可以分散風險，網站系統放上雲端，但錢包系統則留在機房，以利就近監控管理。

對一般有意投資的民眾而言，如何挑選加密貨幣交易所？徐千洋直言，不要上當、不要貪，別一昧為了獲利而失去判斷，要先看清楚再投資，否則等於把錢丟進水底。

徐千洋也提供了9項加密貨幣交易所安全評估建議，可作為投資人挑選時的參考。

《原文請見iThome（https://www.ithome.com.tw/news/121895）》