慢雾:币安最新安全监测报告
慢雾科技在推动区块链世界的安全联防及对抗日趋严峻的地下黑客攻击工作上做了许多沉淀,本篇安全监测报告,慢雾科技的区块链威胁情报系统(BTI)提供了相关素材支撑,慢雾科技将从币安(Binance)这个世界顶级的数.字.货.币交易所为安全监测对象,简析下慢雾科技的评估结论。
币安安全监测分析
慢雾科技于 2018 年 12月和币安开始正式对接安全,持续到现在,慢雾科技针对币安做了许多安全监测的工作,在这,我们正式做些必要的披露以客观看待币安当下的安全体系能力。
据慢雾科技的近期安全监测显示,币安的生产环境架构、服务器安全、应用安全、钱包私钥安全、办公环境安全等重要安全项目当前处于优质状态,同时币安的风控体系完善,配备多项措施保障用户资产安全。慢雾科技对币安当前的安全体系建设工作整体评估为:优秀。
在币安风控体系方案,我们列举几项重要的点。
· 前置 WAF(Web Application Firewall),全站 HTTPS
结论:优秀
描述:币安关键业务相关的域名及 IP 都做了全面的 WAF 策略,这个策略可以很好抵御来自外部针对 Web 服务的直接攻击,同时全站 HTTPS策略,可以防止潜在的中间人劫持攻击风险。这些对于用户来说,通过 Web 及 App 访问币安的服务是安全且隐私的。
· 未明文传输关键敏感信息(如密码)
结论:优秀
描述:通过相关安全工具及人工的审计,币安用户在币安上做的关键敏感操作所传输的数据做了额外一层安全加密保护。
· 在各类敏感操作上都需要通过 2FA,如 API 的创建与修改,账户地址的绑定与修改,资金划转等
结论:优秀
描述:2FA 指双因素认证,这个策略是安全策略里的最佳安全实践,币安针对用户的敏感操作尤其涉及到资金的操作都做了全面完备的 2FA策略,可以大大降低用户被盗号攻击、撞库攻击导致的风险。币安的 2FA 策略还引入了世界领先的 YubiKey 方案,在 2FA方面,币安已经走在了最前沿。
· 找回密码后 24 小时内不能进行提现操作
结论:优秀
描述:找回密码是业务正常逻辑,但也可能被恶意利用,许多地下黑客会通过获取用户的邮箱等权限,在目标业务上进行密码找回达到修改密码的目的,从而立即发起盗币攻击。24小时策略,平衡了正常业务体验和这类安全风险,给遭遇这类安全风险的用户相对多的时间进行弥补防御。
· 邮件/网站有防钓鱼提醒
结论:优秀
描述:许多用户账号被盗的原因来自遭遇了钓鱼网站的攻击,币安的“防钓鱼提醒”增强了用户的安全意识,可以降低用户被钓鱼的概率。
· 首次登录有安全教育
结论:优秀
描述:数.字.货.币领域对许多新人来说是个陌生的领域,新人是被攻击的高危人群,在首次使用币安的服务时有安全教育机制,对用户来说是种很好的安全引导。无论是“防钓鱼提醒”还是相关“安全教育”,币安做到了第一。
· 引入安全性较高的第三方链接
结论:优秀
描述:安全体系建设工作中,第三方资源的安全是很容易被忽视的,币安的业务谨慎引入了第三方资源,大大降低了由于第三方出安全问题间接导致币安出安全问题的风险。在币安的业务前端引入的第三方链接是来自Google 的相关服务,Google 的安全等级在业内被普遍称道。
· 应急响应速度与全面性能力
结论:优秀
描述:币安安全团队对来自第三方安全机构、外部安全威胁的应急响应很及时,且依托自身安全体系沉淀,应急响应能做到全面性覆盖。币安的“SAFU基金”可以很好应对黑天鹅事件下用户资产安全可能导致损失的赔付工作。
· 资金安全策略
结论:优秀
描述:币安针对用户资金的钱包安全架构采用的是冷热分离设计,并在私钥的生成、存储及使用环节严格采用了私钥绝对密文策略,同时在这些环节采用了多层安全风控机制,其中的KYT 策略能做到对每笔交易的监测与异常发现。
· 完成第三方安全机构审计
结论:优秀
描述:币安通过了慢雾科技的第一次安全审计,币安当下安全体系建设工作进展顺利。
除了上述这些风控体系相关的审计结论,我们也认为币安在安全方面的其他工作做了许多努力,其中包括:及时透明的披露态度;自身安全团队的持续组建工作;与安全社区的关系维护;面向整个数.字.货.币行业的安全分享工作;币安的去中心化交易所(BinanceDEX)上线运行。我们认为币安是一家以安全为生命线的企业。
通过慢雾科技与币安近一年的安全互动情况来看,币安体量巨大,安全体系建设还有不少路要走,虽然核心模块的安全已经做到了优秀,但安全是个整体,也是个持续动态发展的过程,一些安全还存在一定的边界盲区。有些安全工作是需要内部安全团队不断加强,但有些可以和业内知名安全机构合作,其中包括:AML、威胁情报、人员安全教育、渗透测试、红蓝对抗、外部安全监测、相关安全防御产品等,并加深全球白帽黑客的关系维系,将安全护城河能力再上一层楼。
关于安全监测报告
慢雾科技力求以最客观最职业的第三方安全机构视角,在获得币安书面授权情况下,针对币安目标业务进行全面的安全体系建设工作的持续安全监测并辅以场内确认,最终根据双方意愿客观披露阶段性的安全监测结果。
关于慢雾科技(SlowMist)
厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实战的团队创建,团队成员曾打造了拥有世界级影响力的安全工程。作为中国最早专注且全球领先的区块链生态安全公司,慢雾科技已经为全球多家领先的数.字.货.币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。慢雾科技的安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。在行业内曾独立发现并公布多起通用高风险的安全漏洞,得到业界的广泛关注与认可。除了研究全球知名公链如比特币、门罗币、以太坊、EOS、Cosmos、本体、唯链等,慢雾科技还特别深耕以太坊和EOS 生态,围绕 DApp 安全攻防对抗,安全审计与防御的知名智能合约数百份。给区块链生态带来安全感是慢雾科技努力的方向。