Hotbit交易所受到網(wǎng)絡(luò)攻擊事件分析

根據(jù)Hotbit官方發(fā)布的消息，從4月29日8:00PM(UTC)開始，Hotbit遭受嚴重的網(wǎng)絡(luò)攻擊，造成一些基本服務(wù)癱瘓，恢復(fù)需要7-14天。

一、事件分析

攻擊者向Hotbit發(fā)起了網(wǎng)絡(luò)攻擊，造成了服務(wù)癱瘓。攻擊者還試圖入侵Hotbit的錢包，Hotbit稱被風(fēng)險控制系統(tǒng)識別并阻止。攻擊者在竊取數(shù)字資產(chǎn)失敗后，惡意地刪除了用戶數(shù)據(jù)庫。雖然存在備份，而且賬戶秘鑰是加密的密文，但仍然存在用戶信息泄露可能性。

交易所管理用戶的資金，因此所有交易所，不管大小，都需要金融級別的安全。金融系統(tǒng)的身份管理，兩地三中心的高可用性和災(zāi)難備份的能力，安全風(fēng)險感知，7×24 h 實時監(jiān)測預(yù)警，數(shù)據(jù)安全和隱私保護等，是交易所必須建立的安全能力。

二、通付盾區(qū)塊鏈安全知識課堂

本次攻擊事件主要是由服務(wù)器漏洞引起的網(wǎng)絡(luò)攻擊，攻擊者利用服務(wù)漏洞向交易Hotbit所發(fā)起攻擊，造成服務(wù)癱瘓。在此次通付盾區(qū)塊鏈安全知識課堂里，將介紹交易所面臨的APT攻擊、DDos攻擊、API安全風(fēng)險、DNS劫持的安全問題和防范手段。

APT攻擊

高級長期威脅(Advanced Persistent Threat，APT)， 又稱高級持續(xù)性威脅、先進持續(xù)性威脅等，指的是隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業(yè)或政治動機，針對特定組織或國家，并要求在長時間內(nèi)保持高隱蔽性。

高級長期威脅包含三個要素：高級、長期、威脅。高級強調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞。長期暗指某個外部力量會持續(xù)監(jiān)控特定目標，并從其獲取數(shù)據(jù)。威脅則指人為參與策劃的攻擊。

數(shù)字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業(yè)務(wù)流程和目標系統(tǒng)進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象身份管理系統(tǒng)和應(yīng)用程序的漏洞，并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會，再利用0 day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數(shù)字貨幣交易所的APT黑客團隊包括CryptoCore(又被稱呼為：“Crypto-gang”、“Dangerous Password”、 “Leery Turtle”，大概成功盜取了2億美金) 和 Lazarus(大概盜取了5億美金)。

安全建議

持續(xù)性的威脅需要交易所堅持不懈的防御。建議交易所的主要功能模塊(交易，訂

單，資金管理，冷錢包，熱錢包，衍生產(chǎn)品，Soft Stacking等等功能模塊)最好每季

度進行第三方安全滲透測試，或者至少每年進行一次第三方的全方位的安全審計。每一次功能添加或者修改在上線以前必須通過第三方審計。

交易所內(nèi)部可以考慮成立一個紅隊(Red Team)。交易所每一個工作人員必須通過安全培訓(xùn)，防止黑客釣魚攻擊，對于外部電子郵件的鏈接和附件沒有經(jīng)過安全部門檢測不能打開。利用云服務(wù)(比如AWS，阿里云等等)的系統(tǒng)，應(yīng)該使用云服務(wù)商提供的身份管理和訪問控制系統(tǒng)(IAM)和API安全服務(wù)。跟蹤了解APT的黑客團隊的新動向，特別是他們利用的0 day安全漏洞。對于交易所的各種服務(wù)器進行加固，公司的補丁管理必須作為公司的安全操作的標準流程。盡量利用冷錢包存儲交易所的大部分資金。使用多簽名的方法處理額度比較大的轉(zhuǎn)賬。

DDos攻擊

分布式拒絕服務(wù)攻擊(Distributed Denial of Service，簡稱DDoS)是一種基于拒絕服務(wù)攻擊(Denial of Service，簡稱DoS)的特殊形式，是一種分布式的、協(xié)同的大規(guī)模攻擊方式。

單一的DoS攻擊一般是采用一對一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源， 導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

與DoS攻擊由單臺主機發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百、 甚至數(shù)千臺被入侵后安裝了攻擊進程的主機同時發(fā)起的集團行為。數(shù)字貨幣交易所經(jīng)常受到DDoS攻擊。

安全建議

(1)制定拒絕服務(wù)響應(yīng)計劃：據(jù)全面的安全評估，制定DDoS預(yù)防計劃。與小型交易所不同，大型交易所可能需要復(fù)雜的基礎(chǔ)架構(gòu)，并需要多個團隊參與DDoS規(guī)劃。當(dāng)DDoS出現(xiàn)時，沒有時間考慮采取的最佳步驟。需要預(yù)先定義它們，以便迅速做出反應(yīng)并避免任何影響。制定事件響應(yīng)計劃是邁向全面防御戰(zhàn)略的關(guān)鍵第一步。根據(jù)基礎(chǔ)架構(gòu)，DDoS響應(yīng)計劃可能會變得非常詳盡。發(fā)生惡意攻擊時所采取的第一步非常重要。需要確保數(shù)據(jù)中心已經(jīng)準備好，團隊知道他們的職責(zé)。這樣可以最大程度地減少對業(yè)務(wù)的影響，并節(jié)省恢復(fù)時間。

(2)保護網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)：只有采用多級保護策略，才能減輕網(wǎng)絡(luò)安全威脅。這包括先進的入侵防御(IPS)和威脅管理系統(tǒng)，包括防火墻、VPN、反垃圾郵件、內(nèi)容過濾、負載平衡和其他DDoS防御技術(shù)層。它們共同提供了持續(xù)、一致的網(wǎng)絡(luò)保護，以防止DDoS攻擊的發(fā)生。這包括以最高級別的精度來判斷和阻止不正常的流量，以阻止攻擊。大多數(shù)標準網(wǎng)絡(luò)設(shè)備都帶有有限的 DDoS緩解選項，因此可能需要外包一些其他服務(wù)。借助基于云的DDOS解決方案，可以按使用量付費使用云安全服務(wù)提供的DDOS緩解和保護服務(wù)。除此之外，還應(yīng)該確保系統(tǒng)是最新的，過時的系統(tǒng)通常是漏洞最多的系統(tǒng)。鑒于DDoS攻擊的復(fù)雜性，如果沒有適當(dāng)?shù)南到y(tǒng)來識別流量異常并提供即時響應(yīng)，幾乎沒有辦法防御它們。在安全的基礎(chǔ)架構(gòu)和作戰(zhàn)計劃的支持下，此類系統(tǒng)可以最大程度地減少威脅。

(3)基本的網(wǎng)絡(luò)安全：采取嚴格的安全措施可以防止業(yè)務(wù)網(wǎng)絡(luò)受到損害。安全做法包括定期更改的復(fù)雜密碼、反網(wǎng)絡(luò)釣魚方法以及允許很少的外部流量的安全防火墻。僅這些措施并不能阻止DDoS，但它們可以作為關(guān)鍵的安全基礎(chǔ)。

(4)建立安全的網(wǎng)絡(luò)架構(gòu)：業(yè)務(wù)應(yīng)創(chuàng)建冗余網(wǎng)絡(luò)資源;如果一臺服務(wù)器受到攻擊，則其他服務(wù)器可以處理額外的網(wǎng)絡(luò)流量。如果可能，服務(wù)器應(yīng)在地理位置上位于不同的位置，因為攻擊者更難以分散資源。

(5)了解DDOS可能出現(xiàn)的警告標志：DDoS 攻擊的一些癥狀包括網(wǎng)絡(luò)速度降低，公司內(nèi)部網(wǎng)路上的連接不正?；蚓W(wǎng)站間歇性關(guān)閉。如果網(wǎng)路性能比平時減少，則該網(wǎng)絡(luò)可能正在經(jīng)歷DDoS，因此交易所應(yīng)采取行動。

API安全風(fēng)險

交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好，黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下：

(1)沒有身份驗證的 API：API必須有身份驗證和授權(quán)機制。符合行業(yè)標準的身份驗證和授權(quán)機制(例如OAuth OpenID Connect)以及傳輸層安全性(TLS)至關(guān)重要。

(2)代碼注入：這種威脅有多種形式，但最典型的是SQL，RegEx和XML注入。在設(shè)計API時應(yīng)了解這些威脅并為避免這些威脅而做出了努力，部署API后應(yīng)進行持續(xù)的監(jiān)控，以確認沒有對生產(chǎn)環(huán)境造成任何漏洞。

(3)未加密的數(shù)據(jù)：僅僅依靠HTTPS或者TLS對于API的數(shù)據(jù)參數(shù)進行加密可能不夠。對于個人隱私數(shù)據(jù)和資金有關(guān)的數(shù)據(jù)，有必要增加其他在應(yīng)用層面的安全。

(4)URI中的數(shù)據(jù)：如果 API 密鑰作為URI的一部分進行傳輸，則可能會受到黑客攻擊。當(dāng)URI詳細信息出現(xiàn)在瀏覽器或系統(tǒng)日志中時，攻擊者可能會訪問包括API密鑰和用戶的敏感數(shù)據(jù)。最佳實踐是將API密鑰作為消息授權(quán)標頭(Message Authorization Header)發(fā)送，因為這樣做可以避免網(wǎng)關(guān)進行日志記錄。

(5)API Token 和 API Secret 沒有保護好：如果黑客能夠獲得客戶甚至超級用戶的API Token和API Secret，資金的安全就成為問題。沒有對于API的使用進行有效的檢測，黑客可能利用API進行多賬戶、多筆的轉(zhuǎn)賬。API的實時安全檢測如果不能判斷這種攻擊，就會有損失。

安全建議

最常見的加強 API 安全性的方法：

(1)使用令牌。建立可信的身份，再通過使用分配給這些身份的令牌來控制對服務(wù)和資源的訪問。

(2)使用加密和簽名。通過 TLS，XML Encryption，零知識證明等方法加密數(shù)據(jù)。要求使用數(shù)字簽名，確保只有擁有權(quán)限的用戶才能解密和修改數(shù)據(jù)。

(3)識別漏洞。確保操作系統(tǒng)、網(wǎng)絡(luò)、驅(qū)動程序和API組件保持最新狀態(tài)。了解如何全面實現(xiàn)協(xié)同工作，識別會被用于侵入API的薄弱之處。利用持續(xù)監(jiān)控來檢測安全問題并跟蹤數(shù)據(jù)泄露。

(4)使用配額和限流。對API的調(diào)用頻率設(shè)置限額，并跟蹤其使用記錄。如果API調(diào)用數(shù)量增多，表明它可能正被濫用，也可能是編程出了錯，例如在無限循環(huán)中調(diào)用API。指定限流規(guī)則，防止API出現(xiàn)調(diào)用激增和拒絕服務(wù)攻擊。

(5)使用API安全網(wǎng)關(guān)。API安全網(wǎng)關(guān)擔(dān)當(dāng)API流量策略執(zhí)行點。好的網(wǎng)關(guān)既能幫助驗證流量的使用者身份，也能控制和分析API使用情況。如果交易所服務(wù)器是部署在云上的，大部分頭部的云服務(wù)提供商都有API安全網(wǎng)關(guān)解決方案或者第三方的Market Place上可以找到的API安全服務(wù)網(wǎng)關(guān)。

(6)交易所對API使用應(yīng)加上IP限制，并識別同一IP使用多個API可能存在黑客風(fēng)險，要特別注意防止重放攻擊，關(guān)鍵API不允許重復(fù)提交調(diào)用。

DNS劫持

DNS服務(wù)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，在DNS查詢中，需要有多個服務(wù)器之間交互，所有的交互的過程依賴于服務(wù)器得到正確的信息， 在這個過程中可能導(dǎo)致訪問需求被劫持，稱為DNS域名劫持(DNS Domain Name Hijacking)。

劫持訪問需求有多種方式：

(1)利用路由協(xié)議漏洞，在網(wǎng)絡(luò)上進行DNS域名劫持。如BGP協(xié)議漏洞(BGP協(xié)議對于兩個已經(jīng)成功建立BGP連接的AS來說，基本會無條件的相信對方AS所傳來的信息，包括對方聲稱所擁有的IP地址范圍)，將受害者的流量截獲，并返回錯誤的DNS地址和證書。

(2)劫持者控制域名的一臺或多臺權(quán)威服務(wù)器，并返回錯誤信息。

(3)遞歸服務(wù)器緩存投毒，將大量有毒數(shù)據(jù)注入遞歸服務(wù)器，導(dǎo)致域名對應(yīng)信息被篡改。

(4)入侵域名注冊系統(tǒng)，篡改域名數(shù)據(jù)，誤導(dǎo)用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸，如果用戶無視瀏覽器的證書無效風(fēng)險警告，繼續(xù)開始交易，就會導(dǎo)致錢包里的資金被盜。

安全建議

交易所應(yīng)該采用技術(shù)手段，防止DNS劫持：

(1)選擇安全技術(shù)實力強的大型域名注冊商，并且給自己的域名權(quán)威數(shù)據(jù)上鎖，防止域名權(quán)威數(shù)據(jù)被篡改。

(2)選擇支持 DNSSEC的域名解析服務(wù)商，并且給自己的域名實施DNSSEC。DNSSEC能夠保證遞歸DNS服務(wù)器和權(quán)威DNS服務(wù)器之間的通信不被篡改。

(3)在客戶端和遞歸DNS服務(wù)器通信的最后一英里使用DNS加密技術(shù)，如DNS-over-TLS，DNS-over-HTTPS等。

(4)用戶應(yīng)重視網(wǎng)絡(luò)安全，不做不安全的操作，確保錢包安全。

(5)提高安全意識，不要越過HTTPS證書強制訪問。

(6)開啟HSTS功能。HSTS(HTTP Strict Transport Security)是瀏覽器支持的一個Web安全策略，如果開啟了這個配置，瀏覽器發(fā)現(xiàn)HTTPS證書錯誤后就會強制不讓用戶繼續(xù)訪問。

(7)使用安全性更高的硬件錢包。

三、通付盾智能合約審計（BitScan）

通付盾作為領(lǐng)先的區(qū)塊鏈安全服務(wù)提供商，為開發(fā)者提供智能合約審計服務(wù)。智能合約審計服務(wù)由自動化審計和人工審計構(gòu)成，滿足不同客戶需求，獨家實現(xiàn)覆蓋高級語言層、虛擬機層、區(qū)塊鏈層、業(yè)務(wù)邏輯層四個方面111項審計內(nèi)容，全面保障智能合約安全。

智能合約自動化審計在通付盾云平臺上為用戶提供智能合約進行自動化審計服務(wù)。運用符號執(zhí)行、形式化驗證等智能合約分析技術(shù)，覆蓋高級語言、虛擬機、區(qū)塊鏈、業(yè)務(wù)邏輯四個層面一百多項安全風(fēng)險檢測項，保障智能合約安全運行。

通付盾也為客戶提供高級別的區(qū)塊鏈安全服務(wù)，區(qū)塊鏈安全專家團隊7*24小時為智能合約提供全生命周期的安全保障，服務(wù)包括：VIP安全審計服務(wù)、VIP合規(guī)審計服務(wù)、安全事故應(yīng)急響應(yīng)等。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）