Hotbit交易所受到網絡攻擊事件分析

根據Hotbit官方發(fā)布的消息，從4月29日8:00PM（UTC）開始，Hotbit遭受嚴重的網絡攻擊，造成一些基本服務癱瘓，恢復需要7-14天。

一、事件分析

攻擊者向Hotbit發(fā)起了網絡攻擊，造成了服務癱瘓。攻擊者還試圖入侵Hotbit的錢包，Hotbit稱被風險控制系統(tǒng)識別并阻止。攻擊者在竊取數字資產失敗后，惡意地刪除了用戶數據庫。雖然存在備份，而且賬戶秘鑰是加密的密文，但仍然存在用戶信息泄露可能性。

交易所管理用戶的資金，因此所有交易所，不管大小，都需要金融級別的安全。金融系統(tǒng)的身份管理，兩地三中心的高可用性和災難備份的能力，安全風險感知，7×24 h 實時監(jiān)測預警，數據安全和隱私保護等，是交易所必須建立的安全能力。

二、通付盾區(qū)塊鏈安全知識課堂

本次攻擊事件主要是由服務器漏洞引起的網絡攻擊，攻擊者利用服務漏洞向交易Hotbit所發(fā)起攻擊，造成服務癱瘓。在此次通付盾區(qū)塊鏈安全知識課堂里，將介紹交易所面臨的APT攻擊、DDos攻擊、API安全風險、DNS劫持的安全問題和防范手段。

APT攻擊

高級長期威脅（Advanced Persistent Threat，APT）， 又稱高級持續(xù)性威脅、先進持續(xù)性威脅等，指的是隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業(yè)或政治動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。

高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統(tǒng)中的漏洞。長期暗指某個外部力量會持續(xù)監(jiān)控特定目標，并從其獲取數據。威脅則指人為參與策劃的攻擊。

數字貨幣交易所的高級長期威脅一般是黑客在攻擊之前對攻擊對象的業(yè)務流程和目標系統(tǒng)進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象身份管理系統(tǒng)和應用程序的漏洞，并利用電子郵件和其他釣魚手段安裝惡意軟件潛伏等待成熟時機會，再利用0 day漏洞或者交易所流程方面的漏洞進行攻擊。比較著名的針對數字貨幣交易所的APT黑客團隊包括CryptoCore（又被稱呼為：“Crypto-gang”、“Dangerous Password”、 “Leery Turtle”，大概成功盜取了2億美金） 和 Lazarus（大概盜取了5億美金）。

安全建議

持續(xù)性的威脅需要交易所堅持不懈的防御。建議交易所的主要功能模塊（交易，訂

單，資金管理，冷錢包，熱錢包，衍生產品，Soft Stacking等等功能模塊）最好每季

度進行第三方安全滲透測試，或者至少每年進行一次第三方的全方位的安全審計。每一次功能添加或者修改在上線以前必須通過第三方審計。

交易所內部可以考慮成立一個紅隊（Red Team)。交易所每一個工作人員必須通過安全培訓，防止黑客釣魚攻擊，對于外部電子郵件的鏈接和附件沒有經過安全部門檢測不能打開。利用云服務（比如AWS，阿里云等等）的系統(tǒng)，應該使用云服務商提供的身份管理和訪問控制系統(tǒng)（IAM）和API安全服務。跟蹤了解APT的黑客團隊的新動向，特別是他們利用的0 day安全漏洞。對于交易所的各種服務器進行加固，公司的補丁管理必須作為公司的安全操作的標準流程。盡量利用冷錢包存儲交易所的大部分資金。使用多簽名的方法處理額度比較大的轉賬。

DDos攻擊

分布式拒絕服務攻擊（Distributed Denial of Service，簡稱DDoS）是一種基于拒絕服務攻擊（Denial of Service，簡稱DoS）的特殊形式，是一種分布式的、協(xié)同的大規(guī)模攻擊方式。

單一的DoS攻擊一般是采用一對一方式的，它利用網絡協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進行網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統(tǒng)資源， 導致網絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網絡服務。

與DoS攻擊由單臺主機發(fā)起攻擊相比較，分布式拒絕服務攻擊DDoS是借助數百、 甚至數千臺被入侵后安裝了攻擊進程的主機同時發(fā)起的集團行為。數字貨幣交易所經常受到DDoS攻擊。

安全建議

（1）制定拒絕服務響應計劃：據全面的安全評估，制定DDoS預防計劃。與小型交易所不同，大型交易所可能需要復雜的基礎架構，并需要多個團隊參與DDoS規(guī)劃。當DDoS出現時，沒有時間考慮采取的最佳步驟。需要預先定義它們，以便迅速做出反應并避免任何影響。制定事件響應計劃是邁向全面防御戰(zhàn)略的關鍵第一步。根據基礎架構，DDoS響應計劃可能會變得非常詳盡。發(fā)生惡意攻擊時所采取的第一步非常重要。需要確保數據中心已經準備好，團隊知道他們的職責。這樣可以最大程度地減少對業(yè)務的影響，并節(jié)省恢復時間。

（2）保護網絡基礎結構：只有采用多級保護策略，才能減輕網絡安全威脅。這包括先進的入侵防御（IPS）和威脅管理系統(tǒng)，包括防火墻、VPN、反垃圾郵件、內容過濾、負載平衡和其他DDoS防御技術層。它們共同提供了持續(xù)、一致的網絡保護，以防止DDoS攻擊的發(fā)生。這包括以最高級別的精度來判斷和阻止不正常的流量，以阻止攻擊。大多數標準網絡設備都帶有有限的 DDoS緩解選項，因此可能需要外包一些其他服務。借助基于云的DDOS解決方案，可以按使用量付費使用云安全服務提供的DDOS緩解和保護服務。除此之外，還應該確保系統(tǒng)是最新的，過時的系統(tǒng)通常是漏洞最多的系統(tǒng)。鑒于DDoS攻擊的復雜性，如果沒有適當的系統(tǒng)來識別流量異常并提供即時響應，幾乎沒有辦法防御它們。在安全的基礎架構和作戰(zhàn)計劃的支持下，此類系統(tǒng)可以最大程度地減少威脅。

（3）基本的網絡安全：采取嚴格的安全措施可以防止業(yè)務網絡受到損害。安全做法包括定期更改的復雜密碼、反網絡釣魚方法以及允許很少的外部流量的安全防火墻。僅這些措施并不能阻止DDoS，但它們可以作為關鍵的安全基礎。

（4）建立安全的網絡架構：業(yè)務應創(chuàng)建冗余網絡資源；如果一臺服務器受到攻擊，則其他服務器可以處理額外的網絡流量。如果可能，服務器應在地理位置上位于不同的位置，因為攻擊者更難以分散資源。

（5）了解DDOS可能出現的警告標志：DDoS 攻擊的一些癥狀包括網絡速度降低，公司內部網路上的連接不正常或網站間歇性關閉。如果網路性能比平時減少，則該網絡可能正在經歷DDoS，因此交易所應采取行動。

API安全風險

交易所一般都會公開訂單查詢、余額查詢、市場價格交易、限價交易等等API。API的安全如果沒有管理好，黑客可以利用API安全漏洞盜取資金。一般可能的API安全漏洞如下：

（1）沒有身份驗證的 API：API必須有身份驗證和授權機制。符合行業(yè)標準的身份驗證和授權機制（例如OAuth OpenID Connect）以及傳輸層安全性（TLS）至關重要。

（2）代碼注入：這種威脅有多種形式，但最典型的是SQL，RegEx和XML注入。在設計API時應了解這些威脅并為避免這些威脅而做出了努力，部署API后應進行持續(xù)的監(jiān)控，以確認沒有對生產環(huán)境造成任何漏洞。

（3）未加密的數據：僅僅依靠HTTPS或者TLS對于API的數據參數進行加密可能不夠。對于個人隱私數據和資金有關的數據，有必要增加其他在應用層面的安全。

（4）URI中的數據：如果 API 密鑰作為URI的一部分進行傳輸，則可能會受到黑客攻擊。當URI詳細信息出現在瀏覽器或系統(tǒng)日志中時，攻擊者可能會訪問包括API密鑰和用戶的敏感數據。最佳實踐是將API密鑰作為消息授權標頭（Message Authorization Header）發(fā)送，因為這樣做可以避免網關進行日志記錄。

（5）API Token 和 API Secret 沒有保護好：如果黑客能夠獲得客戶甚至超級用戶的API Token和API Secret，資金的安全就成為問題。沒有對于API的使用進行有效的檢測，黑客可能利用API進行多賬戶、多筆的轉賬。API的實時安全檢測如果不能判斷這種攻擊，就會有損失。

安全建議

最常見的加強 API 安全性的方法：

（1）使用令牌。建立可信的身份，再通過使用分配給這些身份的令牌來控制對服務和資源的訪問。

（2）使用加密和簽名。通過 TLS，XML Encryption，零知識證明等方法加密數據。要求使用數字簽名，確保只有擁有權限的用戶才能解密和修改數據。

（3）識別漏洞。確保操作系統(tǒng)、網絡、驅動程序和API組件保持最新狀態(tài)。了解如何全面實現協(xié)同工作，識別會被用于侵入API的薄弱之處。利用持續(xù)監(jiān)控來檢測安全問題并跟蹤數據泄露。

（4）使用配額和限流。對API的調用頻率設置限額，并跟蹤其使用記錄。如果API調用數量增多，表明它可能正被濫用，也可能是編程出了錯，例如在無限循環(huán)中調用API。指定限流規(guī)則，防止API出現調用激增和拒絕服務攻擊。

（5）使用API安全網關。API安全網關擔當API流量策略執(zhí)行點。好的網關既能幫助驗證流量的使用者身份，也能控制和分析API使用情況。如果交易所服務器是部署在云上的，大部分頭部的云服務提供商都有API安全網關解決方案或者第三方的Market Place上可以找到的API安全服務網關。

（6）交易所對API使用應加上IP限制，并識別同一IP使用多個API可能存在黑客風險，要特別注意防止重放攻擊，關鍵API不允許重復提交調用。

DNS劫持

DNS服務是互聯網的基礎服務，在DNS查詢中，需要有多個服務器之間交互，所有的交互的過程依賴于服務器得到正確的信息， 在這個過程中可能導致訪問需求被劫持，稱為DNS域名劫持（DNS Domain Name Hijacking）。

劫持訪問需求有多種方式：

（1）利用路由協(xié)議漏洞，在網絡上進行DNS域名劫持。如BGP協(xié)議漏洞（BGP協(xié)議對于兩個已經成功建立BGP連接的AS來說，基本會無條件的相信對方AS所傳來的信息，包括對方聲稱所擁有的IP地址范圍），將受害者的流量截獲，并返回錯誤的DNS地址和證書。

（2）劫持者控制域名的一臺或多臺權威服務器，并返回錯誤信息。

（3）遞歸服務器緩存投毒，將大量有毒數據注入遞歸服務器，導致域名對應信息被篡改。

（4）入侵域名注冊系統(tǒng)，篡改域名數據，誤導用戶的訪問。

上述的攻擊行為都會將用戶的訪問重定向至劫持者控制的一個地址。使用一個假冒的證書讓不明真相的用戶登陸，如果用戶無視瀏覽器的證書無效風險警告，繼續(xù)開始交易，就會導致錢包里的資金被盜。

安全建議

交易所應該采用技術手段，防止DNS劫持：

（1）選擇安全技術實力強的大型域名注冊商，并且給自己的域名權威數據上鎖，防止域名權威數據被篡改。

（2）選擇支持 DNSSEC的域名解析服務商，并且給自己的域名實施DNSSEC。DNSSEC能夠保證遞歸DNS服務器和權威DNS服務器之間的通信不被篡改。

（3）在客戶端和遞歸DNS服務器通信的最后一英里使用DNS加密技術，如DNS-over-TLS，DNS-over-HTTPS等。

（4）用戶應重視網絡安全，不做不安全的操作，確保錢包安全。

（5）提高安全意識，不要越過HTTPS證書強制訪問。

（6）開啟HSTS功能。HSTS（HTTP Strict Transport Security）是瀏覽器支持的一個Web安全策略，如果開啟了這個配置，瀏覽器發(fā)現HTTPS證書錯誤后就會強制不讓用戶繼續(xù)訪問。

（7）使用安全性更高的硬件錢包。

三、通付盾智能合約審計（BitScan）

通付盾作為領先的區(qū)塊鏈安全服務提供商，為開發(fā)者提供智能合約審計服務。智能合約審計服務由自動化審計和人工審計構成，滿足不同客戶需求，獨家實現覆蓋高級語言層、虛擬機層、區(qū)塊鏈層、業(yè)務邏輯層四個方面111項審計內容，全面保障智能合約安全。

智能合約自動化審計在通付盾云平臺上為用戶提供智能合約進行自動化審計服務。運用符號執(zhí)行、形式化驗證等智能合約分析技術，覆蓋高級語言、虛擬機、區(qū)塊鏈、業(yè)務邏輯四個層面一百多項安全風險檢測項，保障智能合約安全運行。

通付盾也為客戶提供高級別的區(qū)塊鏈安全服務，區(qū)塊鏈安全專家團隊7*24小時為智能合約提供全生命周期的安全保障，服務包括：VIP安全審計服務、VIP合規(guī)審計服務、安全事故應急響應等。