Báo cáo: Hơn một nửa của tất cả các trao đổi tiền điện tử có lỗ hổng bảo mật

Một báo cáo gần đây của ICO Rating cho thấy chỉ 46% trao đổi tiền điện tử đáp ứng các thông số bảo mật mong muốn với 54% còn lại được xem là có biện pháp an ninh cận cảnh, để lại hàng trăm nghìn nhà giao dịch và nhà đầu tư tiếp xúc. Nhóm trao đổi mẫu chứa 100 trao đổi, tất cả đều có khối lượng 24 giờ trên 1 triệu đô la.

Tổng cộng 1,3 tỷ USD đã bị đánh cắp từ các sàn giao dịch tiền điện tử kể từ năm 2010 và có vẻ như các nhà khai thác trao đổi không nhận bảo mật nghiêm túc. Báo cáo bảo mật được xuất bản tuần trước bởi Xếp hạng ICO xem xét bốn yếu tố sau khi thiết lập xếp hạng bảo mật:

• Lỗi giao diện điều khiển
• Bảo mật tài khoản người dùng
• Đăng ký và bảo mật tên miền
• Giao thức web an ninh

Đây là những gì mỗi người liên quan đến.

Lỗi giao diện điều khiển

Lỗi giao diện điều khiển đã gây ra mất dữ liệu trước đó, mặc dù điều này thường không phải là kết quả của một cuộc tấn công độc hại mà là sự cố mã hóa. Báo cáo cho thấy rằng 32% trao đổi có lỗi mã dẫn đến sự cố hoạt động.

Bảo mật tài khoản người dùng

Để đo lường điều này, các nhà phân tích tạo ra một tài khoản riêng biệt trên mỗi trao đổi và kiểm tra bảo mật mật khẩu cũng như xác minh email và các biện pháp 2FA. Họ thấy rằng 41% trao đổi cho phép tạo mật khẩu dài hơn 8 ký tự và do đó được coi là không an toàn để sử dụng. 37% trao đổi cho phép người dùng tạo mật khẩu của họ bằng chữ cái hoặc chữ số mà không kết hợp cả hai, cũng được coi là lỗ hổng bảo mật.

Nghiêm trọng hơn, 5% trao đổi cho phép người dùng tạo tài khoản mà không cần xác minh email và 3% trao đổi thiếu 2FA (xác thực hai yếu tố yêu cầu người dùng xác nhận bằng thiết bị riêng của họ), được coi là một khía cạnh cơ bản của bảo vệ quỹ.

Đăng ký và bảo mật tên miền

Các nhà phân tích đã sử dụng Cloudflare để xác định các lỗ hổng bảo mật liên quan đến tên miền và công ty đăng ký của họ.

Một số yếu tố được xem xét ở đây, chẳng hạn như khóa đăng ký ngăn mọi người sử dụng giao tiếp ngoài băng tần với đăng ký thay đổi tên miền cũng như khóa đăng ký ngăn chặn tấn công tên miền thông qua các biện pháp bảo mật nâng cao như yêu cầu nhiều hơn mã ủy quyền để truy cập miền – tài khoản vai trò thường được sử dụng để bảo vệ thông tin miền nhạy cảm khỏi bị rò rỉ.

Các nhà phân tích khuyến nghị một khoảng thời gian hết hạn 6 tháng cho các lĩnh vực cho phép các biến chứng liên quan đến quyền sở hữu, vv và đã được kiểm tra cùng với sự hiện diện của DNSSEC xác thực tất cả các truy vấn DNS với chữ ký mật mã để ngăn chặn ngộ độc bộ nhớ cache.

Các nhà phân tích nhận thấy rằng chỉ có 4% trao đổi sử dụng các phương pháp hay nhất trong tất cả các lĩnh vực này – chỉ có 2% trao đổi sử dụng khóa đăng ký và DNSSEC sử dụng 10%, mặc dù không có sự trao đổi hoàn toàn bị bỏ qua tất cả 5 thông số.

Giao thức web an ninh

Các giao thức web đã được kiểm tra về mức độ bảo mật của chúng bằng cách sử dụng WebSec bởi HT Bridge. Các nhà phân tích đã kiểm tra tiêu đề HTTPS trong URL, tiêu đề bảo vệ X-SXX-, tiêu đề chính sách bảo mật nội dung, tiêu đề x-frame-options và tiêu đề x-content-type.

Chỉ có 10% trao đổi sử dụng tất cả 5 biện pháp bảo mật, với 29% sử dụng không có gì ở trên và chỉ 17% có tiêu đề chính sách bảo mật nội dung.

Bảo mật chung

Các nhà phân tích sau đó xếp hạng 100 sàn giao dịch theo thứ tự an toàn nhất.

Coinbase Pro dẫn đầu là sự trao đổi an toàn nhất, với Kraken sau khi ở vị trí thứ hai. BitMEX, GOPAX và CDPAX tạo nên phần còn lại của top 5.

Bản báo cáo nêu bật vấn đề liên tục của bảo mật trao đổi tiền điện tử và nói rằng bản chất của cryptomarket và an ninh trao đổi tiền điện tử và quy định là “thực sự hấp dẫn đối với tin tặc“.

Đáng lưu ý, Binance, sàn giao dịch lớn nhất thế giới theo khối lượng thậm chí không có mặt trong top 10, xếp thứ 17.

[pdf-embedder url=”https://cafebitcoin.org/wp-content/uploads/2018/10/96s8XtOZ3Op87iYjRqwzXQPRXhC4CoTweFvyUCzN.pdf”]

Nguồn CCN

THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER