Author

Topic: [20140926]比特币平台安全状况大集合 (Read 873 times)

szb
newbie
Activity: 28
Merit: 0
September 26, 2014, 03:20:31 AM
#3
反正我的币一直在本地钱包,平台的安全不关心。
newbie
Activity: 26
Merit: 0
September 26, 2014, 03:14:04 AM
#2
全是吹牛,没一家是安全的。
sr. member
Activity: 338
Merit: 250
September 26, 2014, 01:50:33 AM
#1
比特币自诞生以来,一直不乏黑客事件:

2014年2月底, 当时世界最大的比特币交易所Mt.Gox,自称受到黑客攻击,导致当时价值4.73亿美元的75万枚客户比特币和10万枚公司自有比特币失窃,最终面临破产倒闭的命运。

2014年8月15日,国内交易平台比特儿被黑客盗走5000万NXT,折合人民币约1000多万元。

2014年9月24日晚,火币网出现提币漏洞,共涉及比特币950个,莱特币8100个 。

2014年9月25日,比特汇钱包服务器遭遇黑客攻击,盗取方式是黑客用RPC调用导出钱包私钥,转走地址上的金额,最终损失了107个比特币。

从轰动全球的“门头沟”事件到最近的比特儿、火币网和比特汇。黑客事件危害大,不但被盗资产难以追回,损失难以弥补,让平台面临信用危机,也会让大众对数字货币失去信心。针对安全问题,小编采访了各大平台,来看看各位平台大V们怎么说吧!

火币(由杜均回答):

火币从资源及战略、钱包、用户账户、网站业务与服务器四个方面介绍安全工作。

一.资源优势:

火币不仅拥有专业的安全团队来负责钱包与业务安全,并且在战略上并购了国内首个采用多重签名的快钱包,推行资产与交易分离方案,确保用户资产安全。

二.钱包安全:

火币网不仅对自身的交易所钱包在设计和运维上实行了充分的安全保护措施,并且整合产业链优势资源,已实现与快钱包打通。

(一)快钱包

快钱包是国内首个基于多重签名技术的比特币钱包。

1.多重签名的安全性:任何一笔转账交易,都需要本地和在线两把私钥同时签名才能完成。普通的onchain钱包容易受到木马攻 击,offchain钱包又有黑客入侵和监守自盗的风险,快钱包的多重签名机制从根源上杜绝的单点风险,其安全性远大于普通在线钱包或是本地钱包。

2.支付流程安全保障:除了本地验证支付密码外,快钱包还提供了二次验证功能,并可设定触发二次验证的每笔或每日限额。这样在保证日常小额支付方便性的同时,保证了大额支付在服务器端的二次校验,从而保障用户资产安全。

3.火币网的资产与交易分离方案:快钱包已经实现和火币间转账即时确认到账,这就意味着,对于交易不频繁的用户,可以将比特币存储在快钱包,需要交易的时候,可以实时将快钱包中的币转账到火币网,这样在保障资产安全和透明性的同时,拥有了交易的灵活性。

(二)交易所钱包安全:

1.交易所钱包设计

(1)摒弃了不安全的rpc-json通讯方式,每次处理业务都会对发起方的权限进行认证。

(2)控制线上钱包的存币量。

(3)防范一确认到账的风险,对挖矿奖励直接充值的方式进行了专门的识别,并需要六个确认到账。

2.交易所钱包运维

(1)有专门的对账系统对加密货币及人民币的流动情况进行对账。

(2)运营钱包需要A\B角色同时签名,交易才会生效。

(3)对权限进行细分,钱包运维人员无法接触到钱包私钥。

(4)所有的私钥都用标准加密算法加密存储,并对加密后的文件,进行多点备份。对钱包密码进行专门的分权管理设计,防止单点风险同时,也避免因密码管理者发生意外而导致私钥丢失。

3.提币流程

用户通过账户密码、资金密码、和资金双重认证来发起一笔提币请求,系统在接受请求前会先检查用户的资产状态是否正常,随后提交给后台,客服在后台对提币请求进行审核,钱包接受到已审核的提币请求后开始处理提币, 并追踪该笔提币直到接收到6个确认。

(三)用户账户:

1.采用多重额外验证手段,包括google身份验证、手机短信验证、资金密码、登录专用google认证等措施来保障用户账户资金安全。

2.对于短信验证码进行业务功能的区分,坚持专码专用,对于防护钓鱼网站有很好的效果。同时,火币网购买了专业的钓鱼网站检测服务。

3.对各种用户账户变更进行短信提示(绑定了手机的用户),如果通过申诉重置了某个安全措施,会锁定提现一段时间。

(四)网站业务与服务器:

1.我们在业务上线前都会经过安全部的渗透测试,并定期对内部系统进行常规安全检查。

2.积极和安全公司合作,定期请业内知名公司进行外部渗透测试,目前已通过了乌云的众测和安全宝的渗透测试。

3.建立专门的日志安全分析机制,做到知彼知己。

OKCoin(由赵长鹏回答):

这些问题比较敏感。每个平台的具体的安全机制都不同。但具体的细节一般大家都不愿意透露。透露的太多反而会被黑客利用,重点攻击。

在数字货币的领域里,安全很多是依靠数学加密等。这和技术能力很有关系。所以选择技术能力强的平台会比较保险。技术能力在很多方面会有体现。这个大 家可以自己判断。徐明星和我都是程序员出身,在这方面还是比较在行的。我无法评价其它平台的安全措施。我只能说大家要谨慎选择。

一般的平台在出大事之前都会有征兆。包括平时的系统稳定性等。MtGox在倒闭前的2年里,出过好几次事情。只是因为他们是最早的平台,所以大家一直用他们。火币的情况我不了解。也不方便评价。

我只能说OKCoin到目前为止没有出过任何事情。还是非常安全的选择。

同时也要说明,不能因为一个不好的公司,打翻这个行业。比如一个互联网电商公司倒闭,或被黑客,不代表所有的互联网公司都有问题。和互联网类似,在比特币这个新的行业里,会有很多公司做不下去。也会有很多公司发展的很好。我们OKCoin非常努力的向成功的方向发展。

796(由朱荣回答):

796最近刚刚更新了安全中心,登录必须要验证(goole、sms、email,3选1,提币验证(goole、sms、email,3选2), 有监控数据异常报警功能, ddos攻击,另外我们采用分流机制,硬防+软防。代码入侵问题,我们采用文件监控,如果有异常文件上传,将会报警。


另外我在22日微博刚刚有提及“意外开支”,现在这个行业的创业者都不容易,大多处于投入阶段,还要不时防范各种黑客及技术意外。我们尽量使用公司自有资金来进行周转,以此来最后保证用户资产的安全。

22日微博摘要:

有人说796赚多少多少钱,大家可以查看下我们每月的报表,一共营收才100多万,这还要去除运营成本及意外开支,在这个虚拟网络世界有多少意外相信大家也能想像得到,所以我们的营收都存在公司,尽量把用户的资金存入冷钱包。

比特时代:

黄天威的回答:

大部分的币都在冷钱包,就算是热钱包,我们热钱包的服务器也是不连外网的,都是通过跳板机连接,跳板机一旦有人登录,我们都有短信监控,非正常连接是不可能的,币应该是安全的。

技术人员的回答:

我们采用的是冷钱包和热钱包双重机制,热钱包用于提现。冷钱包完全离线,用于安全地储备资金和提供准备金证明。用户发起提币操作时,系统会在用户填 入提币地址处通过手机验证码的方式来验证用户的身份。同时,我们的系统会根据每个用户的交易记录,冲提记录,用户资料的完整性等为基础,为每个用户生成一 个安全性额度,高于这个额度的我们会有人工介入,以进一步保障用户和系统的资金安全。网站前台方面,我们引入了交易密码和异地登录校验的安全方式。即使用 户登录 QQ 号被黑客盗取,黑客也因为拿不到用户的登录校验码和交易密码,而无法进入用户的账户操作。网站后台,我们有有后台前台隔离的措施。平台工作人员必须用特殊 的机制才能连上管理后台。网站使用了分布式 CDN ,一方面加快了网站在全球的访问速度,另一方面也洗去了 DDOS 攻击流量。

我们系统会有自动监控,我们的工作人员也会通过后台查看资金的异动。发现资金异常操作,我们会第一时间联系用户处理。

比特儿(由韩林回答):

比特儿自身钱包和服务器安全问题:比特儿不仅采用冷钱包计算,热钱包也是严格加 密的,并且热钱包密码经过二重加密,严格的钱包密码分离。钱包服务器后台有入侵检 测,一旦有异常登录就会立即关闭服务,确保数据安全。我们充值与提现部分都有安全 报警器,一旦触发就进入人工审核阶段。比特儿运营一年多,服务器没有被直接入侵成 功过。我们为系统设计了周密的安全保障方案,确保即使在热钱包服务器被入侵的情况 下,也不会丢失资金。我们正在为此申请专利。

用户帐号安全问题:我们网站前台为用户设置了多重安全保护,包括:网络通信ssl加密 传输,保障不被窃听。用户登录IP保护,谷歌双重认证,手机短信认证,二步登录保护 ,资金密码保护。更改密码链接绑定IP地址并且只在30分钟内有效 等措施,严控用户帐 号安全。在前台方面,我们为用户帐号资金安全提供的安全措施比国内银行网银安全措 施都严格。

如果用户自行关闭我们的安全保护措施,造成帐号被盗,我们仍有人工审核防线,对于 大额提现人工确认,电话确认,确保用户不会出现大额损失。同时,我们后台对用户帐 号的登录,更改安全设置,提现等有详细的记录,包括IP地址,提现地址等。在用户帐 号出现问题的时候,可以配合警方为用户提供所有的这些信息,并提供技术支持,帮助 用户能早日抓到黑客。

比特币交易网(由王小云回答):

钱包实施冷存储,对用户账户进行多维度的风险识别防止被其它人登录操作,服务器安全方面除了自身的专家团队技术保障之外,也请了安全行业的知名厂商进行安全检测.

多维度风险识别是指:IP、GA、实名认证、银行账号匹配

IP:通过对比用户的常用登录IP和申请提现IP是否一致进行判断;

GA:用户可以选择GOOGLE双重验证登录和提现;

实名认证:用户身份证的上传和手机号码验证;

银行账号:银行收款账户与实名认证信息是否一致进行判断;

账户信息:此账户是否有异常交易,这方面有程序进行监控;

如果是因为平台方面的原因被盗,我们会进行相应赔偿,并且会尽最大可能找出原因或者找出优化方案,毕竟在互联网上没有永远的安全,只有不断的发展和进步。

中国比特币(由高大尚回答):

正如今日公布的linux bash漏洞所证明,世上没有绝对安全的系统,没有绝对无bug的软件,但通过持续努力,可以将风险管控在相对安全的范围内,一,内部工作人员管理与工作 流程管控,是所有安全重中之众,必须从制度和网站管理业务流程上杜绝发生问题的可能性,人是不稳定因素,这点上运营一年多的chbtc可以很自豪地说我们 已经做得很好了,二,程序上不要轻易使用为检测的组建或软件,我们整体系统已经运营5年以上了,全部独立开发,整体框架也是我本人研发的,涉及业务资金超 过100亿,所以基础很纯净,系统底层有防cc攻击,攻击检测等能力。

三、日常运维也是容易被攻击的地方,甚至有人使用的shell管理工具都是盗版或破解,就没任何安全可言了。

安全运维首先要从公司内部网络安全做起,然后整个网络到服务器全程要加密访问管理

四,确保网站系统本身没有低级错误的情况下,做好服务器入侵检测工作,ip隔离工作,可以减少很多安全投入

白名单以外的任何ip访问服务器都要及时有报警机制,仅仅开启需要的端口,尽量服务器组内网,用内部ip通讯。

币付宝(由CEO崔振宇回答):

比特币存储:币付宝采用热钱包、中间冷钱包、大额冷钱包的方式保存用户的比特币资产。这三部分保存的比特币是相互独立的。其中热钱包中的数量一般不 会超过50BTC,当热钱包的数量超过一定范围时会导入到中间冷钱包,中间冷钱包会定期导出至大额冷钱包。这种方式,即保证了系统的实时可用性,也最大限 度地保障比特币资产的安全。

监控:币付宝对系统各环节BTC数量的变动都有设有监控,如果出现任何异常会自动报警并由人工干预,如出现超大额或异常提币请求会自动pending并转为人工审核。

帐号安全:币付宝用户必须使用8位以上数字加字母的高强度密码(币付宝收录了56万+的网络常见的密码,这些密码是无法注册币付宝),密码使用 Salted SHA-512-PBKDF2加密技术加密;用户所有关于BTC支出的操作(发币、支付订单、创建币券等)均强制二次验证(短信/语音验证,Google Authenticator验证)。

后台:币付宝管理后台为read-only模式,无法进行发币的相关操作,而且有严格的登录身份认证限制(IP限制、账号密码、 Google Authenticator二次验证)。

架构:币付宝采用了多层的安全架构,前后端分离。核心服务使用堡垒机进行跳转隔离,对外是封闭的。

BugBounty:币付宝在上线初期就已在国外知名的白帽社区crowdcurity.com做了一系列的漏洞征集悬赏活动,并已加强了白帽们提 出的可能被攻击的薄弱环节。币付宝也一直密切关注业内最新的安全问题,比如近日发生的钱包安全事件和Bash Bug,并在第一时间进行修复。

保障:如果币付宝用户的比特币资产被盗,币付宝将进行公开的调查并公布调查结果。如果确认为币付宝方面造成,币付宝将全额补偿用户的损失。

比特币存钱罐(由王聪回答):

比特币存钱罐目前采用冷热钱包结合的方式,服务器热钱包里有不到50BTC的币,这是用来处理用户小额提币的。小额提币直接从服务器热 钱包实时转出,较大额度的提币是需要手工处理的,如果额度更大,还需要电话核实提币人信息。如果服务器热钱包里的币因为黑客入侵的原因而丢失,我们会全额 赔偿。

我们写了一个脚本监控用户的信息,如果有用户的关键信息有异常变动,系统会自动校正,然后我们会收到邮件提醒。在用户账户方面,我们做了很多工作,首先 用户在存币之前,需要设置资金密码,并且开通短信验证或者谷歌验证。在涉及到资金方面的变动的时候除了需要输入资金密码、输入短信验证码或者谷歌验证以 外,还增加了邮件验证的保护,最大程度保证用户资金的安全!即
使用户账号和密码被盗,里面的资金也很难被挪用。

在服务器方面,我们已经做好了防止SQL注入、防止XSS攻击、CSRF攻击等等,另外也有找安全团队做防渗透测试,并且以后也会定期找专业的安全团队做防渗透测试。

币丰港(由王东回答):

我们有冷热钱包,维持一定比例。冷转热需要手动。有报警机制。内存秘钥经过加密。代码入侵不可能,我们不用sql查询。

比特汇(由姚远回答):

相信比特汇币被盗了你也知道了吧。www.btct.com  上面有。在线钱包不能保证是绝对的安全。冷钱包可以保障不受到攻击,但是不排除在管理上有可能会丢币。一般平台用户提币的时候都加了报警,我们比特汇也 是,但是如果是黑客直接绕过web 页面直接对钱包发起提币。只要黑客有钱包口令,钱包就会执行付款操作。这个是不可逆的。所以当你监控钱包被执行命令的时候就比较晚了。所以在线钱包多少会 有一些被攻击的尴尬。因为钱包没有一个机制可以拆回交易。除非做到多重签名,一笔款需要用户与钱包管理人员都同意支付。但要保护好多重签名的数据。数据一 般都会存db库,如果db库被泄漏。就算客户私钥被加密加盐保存,万一黑客反编译你的源代码,拿到你加密的算法也是很危险的事情。
用户在平台被盗,如何处理要看平台自己,资金,态度,和事情原因。这个没有通规,比特汇是承诺全部陪付。冷钱包维护好,是最最安全的。

同时,小编也就此问题采访了BTCC的赵千捷,云币邱亮,因工作太忙和安全问题太敏感等原因,没有及时回复,后期会补上。

对于用户来说,安全是用户选择平台的第一要素,网站的安全问题体现了一个平台的责任和对用户的态度。用户的信任不能随意透支,也希望各大平台重视网站安全性上的建设,避免悲剧发生。 来源:壹比特
Jump to: