加密市场吸引了大量的投资者，每个人都希望得到高回报。即使当前加密资产被盗后不受法律的保护，也无法阻止这些投资者前赴后继地涌入加密市场。

交易平台存储了大量的加密资产，因此对黑客极具吸引力。

在过去的8年里，大约有31个交易平台遭黑客入侵，约13亿美元的加密资产被盗。有一些交易平台吸取教训并重振旗鼓，有一些直接破产，也有一些甚至多次受到攻击，比如Mt.Gox、Bitcoinica、PicoStocks和Bitcurex等。

我们选择了日交易额超过100万美元的交易平台，总数100家。在这篇交易平台安全报告中，以下几项可能对交易平台及其用户产生负面影响的潜在漏洞所对应的安全措施，我们做了详细的评估：

■  控制台错误
■  用户帐户安全
■  注册商和域名安全
■  网络协议安全

 01
控制台错误

代码中的控制台错误，可能导致某些系统出现故障，从而导致用户出现问题。此类漏洞通常并不严重，但在某些情况下，这些漏洞会导致数据丢失，因此也作为衡量指标之一。

调查统计发现，68％的交易平台没有控制台错误，其中，49％的交易平台虽然没有控制台错误，但也没有关于此类错误的警告。

结论：32％的交易平台存在控制台错误，会导致操作中存在某些缺陷。

 02
用户帐户安全

我们在每个交易所均创建了一个帐户，用来评估以下维度：

■  是否可以创建少于8个符号的密码？
■  是否可以单独使用数字或字母创建密码？
■  帐户创建后，是否立即需要电子邮件验证？
■  是否需要两步验证？

评估结果如下：

■  41％的交易平台：允许密码少于8个符号；
■  37％的交易平台：允许使用只有数字或字母的密码；
■  5％的交易平台：允许创建帐户后无需电子邮件验证；
■  3％的交易平台：没有两步验证；

结论：只有46％的交易平台满足上述的四个维度。

 03
注册商和域名安全

我们使用Cloudflare平台，检查这些交易平台是否存在与其注册商和域名相关的漏洞：

■  注册表锁定：注册表锁定是注册表中的一个特殊标志，可以防止在没有与注册表进行外通信的情况下，对域名进行更改。

■  注册商锁定：注册商锁定要求不仅仅是一个身份验证码来更改全局注册表中的信息，以此来防止域名劫持。

■  角色账户：注重安全的机构会通过使用角色帐户注册其域名来避免泄露私人信息，角色帐户可以保护个人免受攻击。

■  有效期：对于交易所域名，我们建议至少有6个月的有效期时间窗口。这是为处理不可预见的复杂问题留有足够余地，例如：拥有该域名的员工离开公司。

■  域名系统安全扩展（DNSSEC）：DNSSEC通过使用加密签名验证所有的DNS查询，以此来消除DNS缓存中毒的威胁。DNS服务器将拒绝未经身份验证的响应，而不是盲目缓存DNS记录。

以上5个维度都有三种可能的结果：正常运行、不正常运行、警告。评估结果如下：

■  只有2％的交易平台：使用注册表锁定
■  只有10％的交易平台：使用DNSSEC
■  只有4％的交易平台：能够在5个维度中做到4个

所幸，没有任何交易所在以上五个维度都有问题。

 04
网络协议安全

我们检验了交易平台是否拥有防止各种攻击的保护头文件。根据交易平台是否有相关协议，我们来检查是否存在以下头文件：

■  Strict-Transport-Security：HSTS，强制浏览器以HTTPS格式浏览网站，保证安全。

■  X-XSS-Protection：定义了浏览器应如何实施跨站点脚本保护。

■  内容安全策略：内容安全策略（CSP）允许为每种类型的内容定义允许的源，有助于防御XSS攻击，还能够定义多个浏览器行为，在HTTP Referer中的发送值，例如沙盒实验。

■  X-frame-options：指定网站是否应该允许自己被框起，以及来自哪个来源，阻止框架有助于抵挡点击劫持等攻击。

■  X-content-type-options：可以指示浏览器禁用嗅探页面内容类型的功能，并且只使用指令本身定义的内容类型，这提供了对XSS或逐个驱动的保护攻击。

此项的评估结果如下：

■  只有10％的交易平台：拥有全部五个头文件
■  29％的交易平台：没有上述5个头文件
■  只有17个交易平台：拥有内容安全策略头文件

 05
总结

现在，交易平台的数量有上千家，日交易额超过100万美元的交易平台也有100多家。

交易平台的选择，关乎投资者的资产安全，再怎么慎重都不为过。为了保障投资者的资产安全，建议优先选择成立时间较长、信誉较好、资金实力雄厚以及用户活跃度高的交易平台。

关于此次交易平台的安全报告，可以进入以下网站查看报告的全部内容，作为选择交易平台的一个参考指标：

http://t.cn/E7fBL9i 

——End——

『声明：本文翻译自「Medium」，作者为Il Kadyrov，译者有删改，文章为原作者独立观点，不代表白话区块链立场，亦不构成任何投资意见或建议。』

亲，给「白话区块链」加个“星标”

   👇 不错过重要推送哦 👇