传奇黑客赵伟:交易所发展太快,安全意识薄弱

来源:2019.06.20

随着区块链技术和数字货币市场的繁荣,安全问题也逐渐成为了市场所关注的焦点。

6月20日,韩国比特币交易所Bithumb被盗取了价值3200万美元的数字货币。占有韩国比特币市场份额的75.7%。

交易所作为区块链行业中的“特殊节点”,攻击成本低却收益巨大,并且往往存放着大量资金,极易成为黑客攻击的目标。交易所一旦被攻破,黑客就可以轻易盗取资金、篡改交易,甚至直接操纵市场,对交易所造成巨大的经济和名誉损失。MT.GOX、YouBit的前车之鉴已经为交易所安全敲响了警钟。大文与安全专家、传奇黑客赵伟进行了对话,他与我们分享了自己对于交易所安全的看法。

赵伟:北京知道创宇信息技术有限公司创始人/CEO,中国信息安全标准委员会委员、院士工作站特聘专家、工业与信息化软件集成促进中心云计算研究专家。

Q:交易所经常受到攻击是因为其中心化结构吗?

赵伟:是的。中心化让交易所像是个慢速移动的靶子。再加上数字货币往往是匿名化的、无法找回的资产,这也让交易所成为了黑客眼中的大肥肉和存钱罐。

交易所常常受到攻击的原因有二。首先是行业发展速度太快,基础设施和安全体系都跟不上交易所的发展。

其次是交易所的安全意识还不够到位。目前的交易所依然缺乏安全意识,在安全领域的投入依然不足,并没有将安全真正重视起来。他们发展的业务太快了,而且是金融级别的业务。基础设施安全也做的很差。一个金融产业想要保证安全,投入其收入的10%都是不够的。

交易所自己不会主动加强安全体系,除非真的因为安全问题造成了巨大的损失,交易所才会更加重视安全。虽然很多交易所已经逐渐开始重视安全问题,但重视程度依然不够。

币的价值就是建立在安全之上的。如果一种虚拟货币可以被随意窃取,那它就没有任何价值。

Q:交易所的安全需求在不同的场景下又有不同。交易所有哪些安全需求?

赵伟:交易所的安全需求有四个层次,分别是技术安全、业务安全、商业安全、合规性安全。技术安全包括资产安全、内外网安全、流程安全等。

业务安全主要是逻辑性安全等方面。

商业安全包括了反羊毛党、钓鱼等。

合规性安全包括KYC、用户信用等。

Q:2012年3月,交易所Bitcoinica使用的云服务商Linode被攻击,导致该交易所损失了超过10000个BTC。交易所应当如何选择云服务商?是否应该选择私有化部署?

赵伟:最好的云服务商也可能出现漏洞,导致区块链节点和系统出现安全隐患。有能力的交易所最好还是私有化部署,能力不足的也可以选择AWS这样的大牌云服务商。

但实际上,如果交易所能力不足而选择了私有化部署对于交易所则更加危险,因为他们缺乏服务器运维的经验。这也是为什么目前几乎所有交易所都部署在云端。

导致这个问题的核心原因是交易所发展太快了,基础设施跟不上交易所发展的速度。首先,交易所在国内进行私有化部署存在监管上的问题,而在海外进行部署又意味着高昂的成本。只有当交易所发展更加成熟之后才会逐渐像传统金融机构一样选择本地化部署。

区块链行业风起云涌,安全事件频发,作为下一代互联网发展的基础技术,区块链本身的安全已经成为行业必须重视的话题。而伴随着区块链的火热,各种假借区块链进行的网络传销、诈骗事件也越发频繁,成为一大社会毒瘤。

“中国区块链安全高峰论坛”于2018年6月21日在北京国家会议中心举行,本次论坛由中国技术市场协会主办,北京知道创宇信息技术有限公司承办、链得得作为独家战略合作媒体,将对本次大会内容进行全程报道。

热门文章

关注知道创宇云安全

获取安全动态