根據(jù)Hotbit官方發(fā)布的消息，從4月29日8:00PM（UTC）開始，Hotbit遭受嚴(yán)重的網(wǎng)絡(luò)攻擊，造成一些基本服務(wù)癱瘓，恢復(fù)需要7-14天。

一、事件分析

攻擊者向Hotbit發(fā)起了網(wǎng)絡(luò)攻擊，造成了服務(wù)癱瘓。攻擊者還試圖入侵Hotbit的錢包，Hotbit稱被風(fēng)險(xiǎn)控制系統(tǒng)識(shí)別并阻止。攻擊者在竊取數(shù)字資產(chǎn)失敗后，惡意地刪除了用戶數(shù)據(jù)庫。雖然存在備份，而且賬戶秘鑰是加密的密文，但仍然存在用戶信息泄露可能性。

交易所管理用戶的資金，因此所有交易所，不管大小，都需要金融級(jí)別的安全。金融系統(tǒng)的身份管理，兩地三中心的高可用性和災(zāi)難備份的能力，安全風(fēng)險(xiǎn)感知，7×24 h 實(shí)時(shí)監(jiān)測(cè)預(yù)警，數(shù)據(jù)安全和隱私保護(hù)等，是交易所必須建立的安全能力。

二、通付盾區(qū)塊鏈安全知識(shí)課堂

本次攻擊事件主要是由服務(wù)器漏洞引起的網(wǎng)絡(luò)攻擊，攻擊者利用服務(wù)漏洞向交易Hotbit所發(fā)起攻擊，造成服務(wù)癱瘓。在此次通付盾區(qū)塊鏈安全知識(shí)課堂里，將介紹交易所面臨的APT攻擊、DDos攻擊、API安全風(fēng)險(xiǎn)、DNS劫持的安全問題和防范手段。

APT攻擊

高級(jí)長(zhǎng)期威脅（Advanced Persistent Threat，APT）， 又稱高級(jí)持續(xù)性威脅、先進(jìn)持續(xù)性威脅等，指的是隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對(duì)特定的目標(biāo)。其通常是出于商業(yè)或政治動(dòng)機(jī)，針對(duì)特定組織或國家，并要求在長(zhǎng)時(shí)間內(nèi)保持高隱蔽性。

高級(jí)長(zhǎng)期威脅包含三個(gè)要素：高級(jí)、長(zhǎng)期、威脅。高級(jí)強(qiáng)調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞。長(zhǎng)期暗指某個(gè)外部力量會(huì)持續(xù)監(jiān)控特定目標(biāo)，并從其獲取數(shù)據(jù)。威脅則指人為參與策劃的攻擊。

數(shù)字貨幣交易所的高級(jí)長(zhǎng)期威脅一般是黑客在攻擊之前對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過程中，此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象身份管理系統(tǒng)和應(yīng)用程序的漏洞，并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時(shí)機(jī)會(huì)，再利用0 day漏洞或者交易所流程方面的漏洞進(jìn)行攻擊。比較著名的針對(duì)數(shù)字貨幣交易所的APT黑客團(tuán)隊(duì)包括CryptoCore（又被稱呼為：“Crypto-gang”、“Dangerous Password”、 “Leery Turtle”，大概成功盜取了2億美金） 和 Lazarus（大概盜取了5億美金）。

安全建議

持續(xù)性的威脅需要交易所堅(jiān)持不懈的防御。建議交易所的主要功能模塊（交易，訂

單，資金管理，冷錢包，熱錢包，衍生產(chǎn)品，Soft Stacking等等功能模塊）最好每季

度進(jìn)行第三方安全滲透測(cè)試，或者至少每年進(jìn)行一次第三方的全方位的安全審計(jì)。每一次功能添加或者修改在上線以前必須通過第三方審計(jì)。

交易所內(nèi)部可以考慮成立一個(gè)紅隊(duì)（Red Team)。交易所每一個(gè)工作人員必須通過安全培訓(xùn)，防止黑客釣魚攻擊，對(duì)于外部電子郵件的鏈接和附件沒有經(jīng)過安全部門檢測(cè)不能打開。利用云服務(wù)（比如AWS，阿里云等等）的系統(tǒng)，應(yīng)該使用云服務(wù)商提供的身份管理和訪問控制系統(tǒng)（IAM）和API安全服務(wù)。跟蹤了解APT的黑客團(tuán)隊(duì)的新動(dòng)向，特別是他們利用的0 day安全漏洞。對(duì)于交易所的各種服務(wù)器進(jìn)行加固，公司的補(bǔ)丁管理必須作為公司的安全操作的標(biāo)準(zhǔn)流程。盡量利用冷錢包存儲(chǔ)交易所的大部分資金。使用多簽名的方法處理額度比較大的轉(zhuǎn)賬。

DDos攻擊

分布式拒絕服務(wù)攻擊（Distributed Denial of Service，簡(jiǎn)稱DDoS）是一種基于拒絕服務(wù)攻擊（Denial of Service，簡(jiǎn)稱DoS）的特殊形式，是一種分布式的、協(xié)同的大規(guī)模攻擊方式。

單一的DoS攻擊一般是采用一對(duì)一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源， 導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

與DoS攻擊由單臺(tái)主機(jī)發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百、 甚至數(shù)千臺(tái)被入侵后安裝了攻擊進(jìn)程的主機(jī)同時(shí)發(fā)起的集團(tuán)行為。數(shù)字貨幣交易所經(jīng)常受到DDoS攻擊。

安全建議

（1）制定拒絕服務(wù)響應(yīng)計(jì)劃：據(jù)全面的安全評(píng)估，制定DDoS預(yù)防計(jì)劃。與小型交易所不同，大型交易所可能需要復(fù)雜的基礎(chǔ)架構(gòu)，并需要多個(gè)團(tuán)隊(duì)參與DDoS規(guī)劃。當(dāng)DDoS出現(xiàn)時(shí)，沒有時(shí)間考慮采取的最佳步驟。需要預(yù)先定義它們，以便迅速做出反應(yīng)并避免任何影響。制定事件響應(yīng)計(jì)劃是邁向全面防御戰(zhàn)略的關(guān)鍵第一步。根據(jù)基礎(chǔ)架構(gòu)，DDoS響應(yīng)計(jì)劃可能會(huì)變得非常詳盡。發(fā)生惡意攻擊時(shí)所采取的第一步非常重要。需要確保數(shù)據(jù)中心已經(jīng)準(zhǔn)備好，團(tuán)隊(duì)知道他們的職責(zé)。這樣可以最大程度地減少對(duì)業(yè)務(wù)的影響，并節(jié)省恢復(fù)時(shí)間。

（2）保護(hù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)：只有采用多級(jí)保護(hù)策略，才能減輕網(wǎng)絡(luò)安全威脅。這包括先進(jìn)的入侵防御（IPS）和威脅管理系統(tǒng)，包括防火墻、VPN、反垃圾郵件、內(nèi)容過濾、負(fù)載平衡和其他DDoS防御技術(shù)層。它們共同提供了持續(xù)、一致的網(wǎng)絡(luò)保護(hù)，以防止DDoS攻擊的發(fā)生。這包括以最高級(jí)別的精度來判斷和阻止不正常的流量，以阻止攻擊。大多數(shù)標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備都帶有有限的 DDoS緩解選項(xiàng)，因此可能需要外包一些其他服務(wù)。借助基于云的DDOS解決方案，可以按使用量付費(fèi)使用云安全服務(wù)提供的DDOS緩解和保護(hù)服務(wù)。除此之外，還應(yīng)該確保系統(tǒng)是最新的，過時(shí)的系統(tǒng)通常是漏洞最多的系統(tǒng)。鑒于DDoS攻擊的復(fù)雜性，如果沒有適當(dāng)?shù)南到y(tǒng)來識(shí)別流量異常并提供即時(shí)響應(yīng)，幾乎沒有辦法防御它們。在安全的基礎(chǔ)架構(gòu)和作戰(zhàn)計(jì)劃的支持下，此類系統(tǒng)可以最大程度地減少威脅。

（3）基本的網(wǎng)絡(luò)安全：采取嚴(yán)格的安全措施可以防止業(yè)務(wù)網(wǎng)絡(luò)受到損害。安全做法包括定期更改的復(fù)雜密碼、反網(wǎng)絡(luò)釣魚方法以及允許很少的外部流量的安全防火墻。僅這些措施并不能阻止DDoS，但它們可以作為關(guān)鍵的安全基礎(chǔ)。

（4）建立安全的網(wǎng)絡(luò)架構(gòu)：業(yè)務(wù)應(yīng)創(chuàng)建冗余網(wǎng)絡(luò)資源；如果一臺(tái)服務(wù)器受到攻擊，則其他服務(wù)器可以處理額外的網(wǎng)絡(luò)流量。如果可能，服務(wù)器應(yīng)在地理位置上位于不同的位置，因?yàn)楣粽吒y以分散資源。

（5）了解DDOS可能出現(xiàn)的警告標(biāo)志：DDoS 攻擊的一些癥狀包括網(wǎng)絡(luò)速度降低，公司內(nèi)部網(wǎng)路上的連接不正常或網(wǎng)站間歇性關(guān)閉。如果網(wǎng)路性能比平時(shí)減少，則該網(wǎng)絡(luò)可能正在經(jīng)歷DDoS，因此交易所應(yīng)采取行動(dòng)。

API安全風(fēng)險(xiǎn)

交易所一般都會(huì)公開訂單查詢、余額查詢、市場(chǎng)價(jià)格交易、限價(jià)交易等等API。API的安全如果沒有管理好，黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下：

（1）沒有身份驗(yàn)證的 API：API必須有身份驗(yàn)證和授權(quán)機(jī)制。符合行業(yè)標(biāo)準(zhǔn)的身份驗(yàn)證和授權(quán)機(jī)制（例如OAuth OpenID Connect）以及傳輸層安全性（TLS）至關(guān)重要。

（2）代碼注入：這種威脅有多種形式，但最典型的是SQL，RegEx和XML注入。在設(shè)計(jì)API時(shí)應(yīng)了解這些威脅并為避免這些威脅而做出了努力，部署API后應(yīng)進(jìn)行持續(xù)的監(jiān)控，以確認(rèn)沒有對(duì)生產(chǎn)環(huán)境造成任何漏洞。

（3）未加密的數(shù)據(jù)：僅僅依靠HTTPS或者TLS對(duì)于API的數(shù)據(jù)參數(shù)進(jìn)行加密可能不夠。對(duì)于個(gè)人隱私數(shù)據(jù)和資金有關(guān)的數(shù)據(jù)，有必要增加其他在應(yīng)用層面的安全。

（4）URI中的數(shù)據(jù)：如果 API 密鑰作為URI的一部分進(jìn)行傳輸，則可能會(huì)受到黑客攻擊。當(dāng)URI詳細(xì)信息出現(xiàn)在瀏覽器或系統(tǒng)日志中時(shí)，攻擊者可能會(huì)訪問包括API密鑰和用戶的敏感數(shù)據(jù)。最佳實(shí)踐是將API密鑰作為消息授權(quán)標(biāo)頭（Message Authorization Header）發(fā)送，因?yàn)檫@樣做可以避免網(wǎng)關(guān)進(jìn)行日志記錄。

（5）API Token 和 API Secret 沒有保護(hù)好：如果黑客能夠獲得客戶甚至超級(jí)用戶的API Token和API Secret，資金的安全就成為問題。沒有對(duì)于API的使用進(jìn)行有效的檢測(cè)，黑客可能利用API進(jìn)行多賬戶、多筆的轉(zhuǎn)賬。API的實(shí)時(shí)安全檢測(cè)如果不能判斷這種攻擊，就會(huì)有損失。

安全建議

最常見的加強(qiáng) API 安全性的方法：

（1）使用令牌。建立可信的身份，再通過使用分配給這些身份的令牌來控制對(duì)服務(wù)和資源的訪問。

（2）使用加密和簽名。通過 TLS，XML Encryption，零知識(shí)證明等方法加密數(shù)據(jù)。要求使用數(shù)字簽名，確保只有擁有權(quán)限的用戶才能解密和修改數(shù)據(jù)。

（3）識(shí)別漏洞。確保操作系統(tǒng)、網(wǎng)絡(luò)、驅(qū)動(dòng)程序和API組件保持最新狀態(tài)。了解如何全面實(shí)現(xiàn)協(xié)同工作，識(shí)別會(huì)被用于侵入API的薄弱之處。利用持續(xù)監(jiān)控來檢測(cè)安全問題并跟蹤數(shù)據(jù)泄露。

（4）使用配額和限流。對(duì)API的調(diào)用頻率設(shè)置限額，并跟蹤其使用記錄。如果API調(diào)用數(shù)量增多，表明它可能正被濫用，也可能是編程出了錯(cuò)，例如在無限循環(huán)中調(diào)用API。指定限流規(guī)則，防止API出現(xiàn)調(diào)用激增和拒絕服務(wù)攻擊。

（5）使用API安全網(wǎng)關(guān)。API安全網(wǎng)關(guān)擔(dān)當(dāng)API流量策略執(zhí)行點(diǎn)。好的網(wǎng)關(guān)既能幫助驗(yàn)證流量的使用者身份，也能控制和分析API使用情況。如果交易所服務(wù)器是部署在云上的，大部分頭部的云服務(wù)提供商都有API安全網(wǎng)關(guān)解決方案或者第三方的Market Place上可以找到的API安全服務(wù)網(wǎng)關(guān)。

（6）交易所對(duì)API使用應(yīng)加上IP限制，并識(shí)別同一IP使用多個(gè)API可能存在黑客風(fēng)險(xiǎn)，要特別注意防止重放攻擊，關(guān)鍵API不允許重復(fù)提交調(diào)用。

DNS劫持

DNS服務(wù)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，在DNS查詢中，需要有多個(gè)服務(wù)器之間交互，所有的交互的過程依賴于服務(wù)器得到正確的信息， 在這個(gè)過程中可能導(dǎo)致訪問需求被劫持，稱為DNS域名劫持（DNS Domain Name Hijacking）。

劫持訪問需求有多種方式：

（1）利用路由協(xié)議漏洞，在網(wǎng)絡(luò)上進(jìn)行DNS域名劫持。如BGP協(xié)議漏洞（BGP協(xié)議對(duì)于兩個(gè)已經(jīng)成功建立BGP連接的AS來說，基本會(huì)無條件的相信對(duì)方AS所傳來的信息，包括對(duì)方聲稱所擁有的IP地址范圍），將受害者的流量截獲，并返回錯(cuò)誤的DNS地址和證書。

（2）劫持者控制域名的一臺(tái)或多臺(tái)權(quán)威服務(wù)器，并返回錯(cuò)誤信息。

（3）遞歸服務(wù)器緩存投毒，將大量有毒數(shù)據(jù)注入遞歸服務(wù)器，導(dǎo)致域名對(duì)應(yīng)信息被篡改。

（4）入侵域名注冊(cè)系統(tǒng)，篡改域名數(shù)據(jù)，誤導(dǎo)用戶的訪問。

上述的攻擊行為都會(huì)將用戶的訪問重定向至劫持者控制的一個(gè)地址。使用一個(gè)假冒的證書讓不明真相的用戶登陸，如果用戶無視瀏覽器的證書無效風(fēng)險(xiǎn)警告，繼續(xù)開始交易，就會(huì)導(dǎo)致錢包里的資金被盜。

安全建議

交易所應(yīng)該采用技術(shù)手段，防止DNS劫持：

（1）選擇安全技術(shù)實(shí)力強(qiáng)的大型域名注冊(cè)商，并且給自己的域名權(quán)威數(shù)據(jù)上鎖，防止域名權(quán)威數(shù)據(jù)被篡改。

（2）選擇支持 DNSSEC的域名解析服務(wù)商，并且給自己的域名實(shí)施DNSSEC。DNSSEC能夠保證遞歸DNS服務(wù)器和權(quán)威DNS服務(wù)器之間的通信不被篡改。

（3）在客戶端和遞歸DNS服務(wù)器通信的最后一英里使用DNS加密技術(shù)，如DNS-over-TLS，DNS-over-HTTPS等。

（4）用戶應(yīng)重視網(wǎng)絡(luò)安全，不做不安全的操作，確保錢包安全。

（5）提高安全意識(shí)，不要越過HTTPS證書強(qiáng)制訪問。

（6）開啟HSTS功能。HSTS（HTTP Strict Transport Security）是瀏覽器支持的一個(gè)Web安全策略，如果開啟了這個(gè)配置，瀏覽器發(fā)現(xiàn)HTTPS證書錯(cuò)誤后就會(huì)強(qiáng)制不讓用戶繼續(xù)訪問。

（7）使用安全性更高的硬件錢包。

三、通付盾智能合約審計(jì)（BitScan）

通付盾作為領(lǐng)先的區(qū)塊鏈安全服務(wù)提供商，為開發(fā)者提供智能合約審計(jì)服務(wù)。智能合約審計(jì)服務(wù)由自動(dòng)化審計(jì)和人工審計(jì)構(gòu)成，滿足不同客戶需求，獨(dú)家實(shí)現(xiàn)覆蓋高級(jí)語言層、虛擬機(jī)層、區(qū)塊鏈層、業(yè)務(wù)邏輯層四個(gè)方面111項(xiàng)審計(jì)內(nèi)容，全面保障智能合約安全。

智能合約自動(dòng)化審計(jì)在通付盾云平臺(tái)上為用戶提供智能合約進(jìn)行自動(dòng)化審計(jì)服務(wù)。運(yùn)用符號(hào)執(zhí)行、形式化驗(yàn)證等智能合約分析技術(shù)，覆蓋高級(jí)語言、虛擬機(jī)、區(qū)塊鏈、業(yè)務(wù)邏輯四個(gè)層面一百多項(xiàng)安全風(fēng)險(xiǎn)檢測(cè)項(xiàng)，保障智能合約安全運(yùn)行。

通付盾也為客戶提供高級(jí)別的區(qū)塊鏈安全服務(wù)，區(qū)塊鏈安全專家團(tuán)隊(duì)7*24小時(shí)為智能合約提供全生命周期的安全保障，服務(wù)包括：VIP安全審計(jì)服務(wù)、VIP合規(guī)審計(jì)服務(wù)、安全事故應(yīng)急響應(yīng)等。