【臺灣資安大會直擊】HITCON創辦人徐千洋:一封釣魚信偷走日本交易所百億營收,如何挑選安全的加密貨幣交易所,靠這9項原則
想成立加密貨幣交易所?HITCON創辦人、臺灣駭客協會理事長徐千洋在臺灣資安大會提醒,成立交易所後會面臨的資安風險,更進一步分享如何正確評估加密貨幣交易所的安全性。(圖片來源/iThome)。
「加密貨幣火紅,但成立加密貨幣交易所,更是近年許多IT人員所熱烈討論的議題。」臺灣駭客年會(HITCON)創辦人徐千洋15日在臺灣資安大會揭露了,加密貨幣交易所面臨的資安風險,更分享如何正確評估加密貨幣交易所安全性的9項秘訣,他提醒,得好好評估,以免在投資時上當受騙,就像把錢丟到水里。
徐千洋首先比較3種常見的加密貨幣交易所類型,第一種是可用法幣購買加密貨幣、加密貨幣兌換成法幣的「法幣交易所」。由於法幣交易所牽扯到國家貨幣議題,容易面臨法律遵循與監管的問題,這類法幣交易所設立門檻高,所以,也出現了「幣幣交易所」,僅鎖定提供加密貨幣的交易,與既有法令較不衝突。另外還有一種「場外交易所」,這是當有兩位用戶想要交換貨幣,又不想透過交易所的場內機制,私下協議後可透過第三方加密貨幣交易所進行交易,網站的作用是代為保管與支付加密貨幣。
徐千洋指出,不少交易所被駭客盯上,傳統網站會碰上的安全問題,在交易所依然逃不過。OWASP(The Open Web Application Security Project)2017年歸納出的十大網路資安風險,包括注入攻擊、無效身分認證、敏感資料外洩、XML外部處理器漏洞、無效的存取控管、不安全的組態設定、跨站攻擊、不安全的反序列化漏洞、使用已有漏洞的元件、紀錄與監控不足風險,也都是交易所要面臨的威脅。
不過,他指出,DDoS(分散式阻斷服務)攻擊更是交易所最害怕的威脅。DDOS攻擊者會先測試能否影響交易所,若測試成功,則會發信勒索,恐嚇不付勒索金則將癱瘓交易所。另外,釣魚郵件的威脅也不可小覷,徐千洋提醒,日本知名加密貨幣交易所Coincheck今年1月底,就是因為內部員工打開了駭客寄來的釣魚郵件,才讓駭客入侵竊取了價值新臺幣154億元的加密貨幣;另外,若內部網站設計架構有問題,再加上客服人員缺乏相關訓練,都容易遭駭客誘騙而上當,所以,「強化客服人員的資安意識也是非常重要的環節。」他提醒。
徐千洋強調,成立加密貨幣交易所,不只是建立網站加上錢包系統就足夠,更困難的是要面對更多資安問題,首先是要考慮能不能因應DDoS攻擊,以及機房能不能負荷網站爆量流量。他建議,可將網站、錢包系統通通放上雲端,不過,雲端也不是萬靈丹,仍有其風險,交易所業者需評估自身的產業環境適不適合。另外,業者也可以分散風險,網站系統放上雲端,但錢包系統則留在機房,以利就近監控管理。
對一般有意投資的民眾而言,如何挑選加密貨幣交易所?徐千洋直言,不要上當、不要貪,別一昧為了獲利而失去判斷,要先看清楚再投資,否則等於把錢丟進水底。
徐千洋也提供了9項加密貨幣交易所安全評估建議,可作為投資人挑選時的參考。
《原文請見iThome(https://www.ithome.com.tw/news/121895)》