出品|三言财经

情报员|王白聿

近日，国际知名评级机构1C0 Rating发布了一份最新调查报告，从控制台错误、用户账户安全、注册商和域名安全、Web协议安全四个方面，对全球范围内100家日交易量超过一百万美元的加密货币交易所的安全性进行了调查分析。

报告指出，多数交易所仍存在安全问题，其中，Coinbase Pro和Kraken评分最高，OKEx、火币、FCoin分列第42、47、75位，OKCoin.cn排名垫底。

三言财经对报告进行了独家编译，以下是全文，enjoy：

据数据统计，在过去的8年中，约31家加密货币交易所遭遇黑客攻击，损失达13亿美元。其中，Mt.Gox、Bitcoinica、PicoStocks、Bitcurex等加密货币交易所曾多次遭到攻击。

目前，全球有超过200家加密货币交易所，且这一数字仍在持续增长。尽管已有多个国家出台加密货币交易所相关监管政策，但仍然无法完全保障加密货币交易的安全。因此，我们建议用户寻求可靠投资方式，提升投资组合多样化。

本报告对全球范围内100家日交易量超过100万美元的交易所进行了调查分析。报告将详细讨论以下内容：

1. 控制台错误

2. 用户帐户安全

3. 注册商和域名安全

4. Web协议安全

/ 1 /  控制台错误

控制台错误可能导致某些系统故障，从而影响用户体验。鉴于某些情况下此类漏洞会导致数据丢失，因此将这一因素纳入调查范围。

评估结果：

• 既没有错误也没有此类警告的交易所：49％

• 没有错误的交易所：68％

结论：32％的加密货币交易所存在代码错误，此类错误或导致交易操作中存在某些缺陷。

/ 2 /  用户帐户安全

1C0 Rating已在每个交易所创建单独的帐户。 

评估参数：

1. 是否允许创建少于8个字符密码；

2. 是否允许单独使用数字或字母创建密码；

3. 帐户创建后是否需进行电子邮件验证；

4. 是否存在2FA验证方式。

（译者注：2FA，2 Factor Authentication，双因子验证，是一种安全密码验证方式。区别于传统的密码验证，2FA是基于时间、历史长度、实物等自然变量结合一定的加密算法组合出一组动态密码，一般每60秒刷新一次，不容易被获取和破解，相对安全。）

评估结果：

• 允许密码少于8个符号的交易所：41％

• 允许使用数字或字母创建密码的交易所：37％

• 无需邮件验证即可创建账户的交易所：5％

• 缺乏2FA验证方式的交易所：3％

• 满足以上所有4个参数的交易所：46％

/ 3 /  注册商和域名安全

运用云计算平台 www.cloudflare.com/domain-security-check 检验加密货币交易所是否存在与注册商和域名相关的漏洞。

评估参数：

1. 注册表锁定（Registry lock）：用户对注册表进行权限设置，可以防止任何人在没有权限验证的情况下对域名进行更改；

   
   

2. 注册商锁定（Registrar lock）：域名处于“域名锁定”状态意味着此域名的注册商已将域名锁定，以防止未授权域名迁移及对此域名设置的改动；

   
   

3. 角色帐户（Role accounts）：注重安全性的组织通过使用角色帐户注册其域名来避免泄露私人信息。角色帐户可以保护组织中的个人免受黑客攻击；

   
   

4. 到期（Expiration）：我们建议为高质量的域名提供至少6个月的到期时间，这样能有足够时间处理不可预见的复杂问题，如拥有公司域名的员工离职等；

   
   

5. DNSSEC：即Domain Name System Security Extensions，DNS安全扩展。DNSSEC通过对DNS源发送方身份和DNS数据包完整性进行验证，有助于防止恶意活动缓存中毒、 域欺骗，和拦截中的攻击。

有3种可能的结果：上述所有项目都正常运行（1）、无正常运行（0）以及警告（0.5）。

评估结果：

• 使用注册表锁定的交易所：2％

• 使用DNSSEC的交易所：10％

• 上述5项都无法正常运行的交易所：无

• 采用了上述5项中的4项的交易所：4%

/ 4 / Web协议安全

运用 www.htbridge.com/websec 对交易所是否拥有抵御各种攻击的标头（Headers）进行调查。本部分采用1和0分别代表交易所是否有相关协议。

评估参数：

1. Strict-Transport-Security 标头：HTTP Strict Transport Security，简称HSTS，让浏览器强制使用HTTPS与网站进行通信，以减少会话劫持风险。

   
   

2. X-XSS-Protection 标头：可在浏览器检测到反射的跨站点脚本（XSS）攻击时阻止页面加载。

   
   

3. Content Security Policy 标头：CSP是一种由开发者定义的安全性政策申明，通过CSP所约束的责任指定可信的内容来源（内容可以是指脚本、图片、style等远程资源）。通过CSP协定，可以防止XSS攻击，让web处一个安全运行的环境中。

   
   

4. X-frame-options 标头：用于给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object>中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

   
   

5. X-content-type-options 标头：服务器用于提示客户端一定要遵循在 Content-Type 首部中对  MIME 类型的设定，而不能对其进行修改，即禁用了客户端的 MIME 类型嗅探行为，有效防止XSS攻击。

评估结果：

• 有上述所有5个标头的交易所：10％

• 没有上述所有5个标头的交易所：29％

• 有Content Security Policy标头的交易所：17家

交易所安全评估一览表

根据上述4部分，1C0 Rating使用以下评分系统对100家交易所进行评估：

• 控制台错误：2个参数，每个类别最高分5分

• 用户帐户安全：4个参数，最高分18分

• 注册商和域名安全：5个参数，最高分34分

• Web协议安全：5个参数，最高分43分

综上合计最高得分为100分。