数字资产多币种钱包开发交易所系统开发公司

  • 发布人:

    ruiec999
  • 发布日期:

    2018-10-08, 01:08 am
  • 浏览次数:

    218
  • 分享:

数字资产多币种钱包开发交易所系统开发公司

联系人信息

姓名 涂先生 (国语)

电子邮箱 2770757138@qq.com

联系电话 (277) 075-7138

微信号码 13823113871

关联网址 http://jy.ruiec.com/


内容描述

数字资产多币种钱包开发交易所系统开发公司
[本文由源中瑞涂先生编辑/交易所开发搜索微信:ruiec999]
目前数字资产交易所在技术方面面临的安全威胁,源中瑞涂先生分析主要分为两大部分。
1.传统信息系统安全漏洞
这一部分来说,数字资产交易所,和传统金融机构差别不大,其整个信息系统,由Web服务器,后端数据库等元素构成,用户通过浏览器,移动端App以及交易所提供的API等多种方式作为客户端访问服务器。
结合本文第一部分的事件记录,可以看出,这部分面临的安全威胁主要包括,服务器软件漏洞,配置不当,DDoS攻击,服务端Web程序漏洞(包括技术性漏洞和业务逻辑缺陷),办公电脑安全问题,内部人员攻击等。
对于规模较大,用户较多的交易所,还会面临用户被攻击者利用仿冒的钓鱼网站骗取认证信息的问题。上文中提到的某安交易所的异常交易事件,据官方的说法,是攻击者利用钓鱼欺骗的方式骗取了部分用户的认证凭证,继而利用API发起大量交易,将用户账户内的其他币种交易成BTC,某安及时发现异常,冻结了提币功能。有趣的是,攻击者虽然不能提币,但是想到了另一个巧妙的获利方式,即利用其控制的大量场内BTC操纵市场,影响其他币种的价格,再在另外的数字资产期货交易所进行做空操作,最终在无法提币的情况下获利超过1亿美元。在这个事件中,攻击者利用了某安平台对市场的巨大影响力,理论上来说,并没有盗取谁的数字资产,只是“换了换币种”,因大量的做空订单分散在成百上千的其他交易所,导致根源也无从查起。
上个月,某安全团队称捕获到了一个0day漏洞,是某个数字资产交易所整站程序的逻辑漏洞,有上百个中小交易所在使用该程序,虽然大众普遍认为,国内外的规模较大的交易所不会购买使用这种第三方开发的整站程序,但是现在数字资产交易行业利润高,发展迅猛,后期可能会有很多人想要快速进入这个市场,在搜索引擎中搜索“数字资产交易所系统开发”等关键字即可发现这一块的需求量应该还是很大的。(交易所开发:jy.ruiec.com)
其实在初期使用第三方外包开发的方式本来未尝不可,就传统的银行领域来说,大量的中小规模银行的信息系统也会使用第三方公司的产品来定制,因为政府层面的严格监管以及这一类开发公司长久的技术积累,银行使用的类似系统通常安全性是有足够保证的。但是在数字资产行业则不同,部分从事这一类开发的个人和团队对于产品质量的保障能力很有限,导致通用型漏洞频发也就不奇怪了。
对于这一部分安全威胁的解决方法来说,通过渗透测试,代码审计等安全服务,挖掘并修复系统存在的安全漏洞,可以参考传统金融行业的安全规范和最佳实践结合自身情况完善安全体系的建设。
2.智能合约安全漏洞
ETH被称为“区块链2.0”技术的代表,因为它支持智能合约的运行。可以这么来理解,BTC系统就是在底层区块链技术的基础之上,加上一个定义了奖励分发规则的“合约”所构成的。而ETH的出现,提供了现成的底层区块链网络,开发者可以在这个基础之上,使用Solidity等程序开发语言,开发部署自己的智能合约,包括模拟一个类似BTC一样的产品。因为Solidity是图灵完备的程序开发语言,因此理论上,可以用来实现各类分布式应用。
开发者编写好智能合约代码之后,将代码部署到区块链上,程序在ETH节点的EVM虚拟机上执行。代码上链之后,各节点执行相同的操作,同步数据状态。
和传统的程序一样,智能合约也不可避免的会存在安全漏洞,不同的是,由于区块链技术的不可篡改特性,一旦合约部署好之后,就很难再修复其中的问题。一些存在例如整型溢出等漏洞的代币分发合约部署之后,代币上线交易所交易,接着漏洞被触发利用,短时间内超发大量代币影响市值,对交易所和用户来说都会造成巨大的经济损失。
这部分安全威胁,就与传统的信息安全漏洞大不一样了。在传统金融市场中,也存在类似的攻击,例如20世纪末期亚洲金融危机时,索罗斯对港元的操作。不同的是,在传统金融市场要发动这样的攻击需要巨量的资金支持才能实现。而在数字资产领域,拥有挖掘合约漏洞能力的人理论上都有可能实现这样的攻击。
实际的威胁情况可能比这还要严重得多。我们说智能合约之所以“智能”,是因为一旦部署上链之后,它的执行过程透明可见,不可篡改,无需人工干预,自然解决了执行过程中的信任问题,这也是区块链技术出现时所想要解决的根本问题。然而虽然解决了程序“运行”阶段的问题,但是如果合约代码存在漏洞,开始执行之后被利用,背离了原本的涉及初衷,那区块链技术的这些优秀特性反而会成为挽救损失的障碍。
应对这部分安全威胁,需要交易所在上线新的Token之前,先经过完善的合约代码安全审计工作,防患于未然,将可能的攻击威胁降到最低。所以从系统的框架开发时,需要一个技术实力过硬的开发商来负责开发,不然现在就算你有很好的市场,没有技术来进行支撑,也是枉然。更多区块链资讯请关注在公众号:源中瑞涂先生

标签


温馨提示:

本条信息由网友自行发布或来自於网络,本站将不会对其真实性、准确性、完整性作出任何保证。在您核实信息前请勿支付任何形式的费用,请不要在信息提供的链接里输入您的QQ和密码,以免上当受骗。


大家都在搜: