چگونه می توان تبادل رمزنگاری را ایمن نگه داشت؟قسمت 1/2

ساخت وبلاگ

آخرین مطالب

امکانات وب

چگونه می توان تبادل رمزنگاری را ایمن نگه داشت؟قسمت 1/2

در دنیای افزایش تورم ، بدون شک ارزهای رمزپایه محبوبیت پیدا می کنند. مردم می خواهند با روش های مختلف از پس انداز خود محافظت کنند و یکی از ایده های آنها سرمایه گذاری در دارایی های رمزنگاری است.

Paweł Kuryłowicz 2021. 02. 09 - 11 دقیقه بخوانید اشتراک گذاری

Share on Facebook

فیس بوک

Tweet about this on Twitter

توییتر

Share on LinkedIn

وابسته به لینکدین

چگونه می توان تبادل رمزنگاری را ایمن نگه داشت؟قسمت 1/2

اشتراک گذاری

Share on Facebook

فیس بوک

Tweet about this on Twitter

توییتر

Share on LinkedIn

وابسته به لینکدین

چرا امنیت را در مبادلات رمزنگاری در نظر بگیرید؟

با افزایش استخر وجوه ، علاقه مجرمان سایبری نیز به همین ترتیب انجام می شود. دائماً هک های جدیدی از مبادلات رمزنگاری از سراسر جهان به نظر می رسد:

  • به نظر می رسد Exmo 10. 5 میلیون دلار بودجه از دست داده است.- دسامبر 2020
  • بیش از 280 میلیون دلار در هک مبادله رمزنگاری Kucoin تخلیه شده است.- سپتامبر 2020
  • Upbit Cryptocurrency Exchange امروز اعلام کرد که تقریباً 50 میلیون دلار ارزش اتر (ETH) را در نقض امنیتی آشکار از دست داد.- نوامبر 2019
  • مبادله رمزنگاری کره جنوبی قربانی کار مشکوک خودی - آوریل 2019 بود

مراحل کلیدی برای تأمین تبادل رمزنگاری.

صدها پروژه و سالها همکاری با بخش مالی به ما این امکان را می دهد تا ضمن همکاری با مبادلات رمزنگاری ، تهدیدها را درک و درک کنیم.

ما نباید فراموش کنیم که Exchange Cryptocurrency نیز یک برنامه وب است ، از بعضی جهات شبیه به مواردی که سالهاست وجود دارد. ما باید از این نتیجه بگیریم. به همین دلیل ما لیستی از مناطقی را تهیه کرده ایم که به نظر ما برای افزایش امنیت نیاز به تمرکز خاصی دارند. برخی از دسته ها شامل مناطقی هستند که منحصر به فرد نیستند و می توانند در بسیاری از برنامه های وب مورد استفاده قرار گیرند ، اما آنها تهدیدی برای مبادلات نیز نمی توانند نادیده بگیرند

بیایید با 10 نفر اول در این قسمت شروع کنیم.

1. امنیت KYC

موسسات مالی ، از جمله مبادلات رمزنگاری ، کاملاً تنظیم شده و باید سیاست های ضد پولشویی (AML) را اجرا کنند. یکی از فرآیندها به نام مشتری خود (KYC) نامیده می شود. هدف این است که بر تأیید هویت ، مناسب بودن و خطرات ناشی از مشتریان مبادله تمرکز کنیم.

صرافی ها در سراسر جهان خدمات ارائه می دهند ، اما مکان های آنها را در همه جا پیدا نخواهید کرد. بسیاری از آنها با تمایل به استفاده از راه حل های کاملاً خودکار که اجازه تأیید فقط با استفاده از یک لپ تاپ یا دوربین تلفن را می دهند. برخی از راه حل های بیومتریک صورت هنوز کاملاً جدید هستند و امنیت همیشه اولویت اصلی آنها نیست.

چنین راه حلهایی می توانند کمک کنند ، اما تا زمانی که به طور کامل آزمایش نشده باشند ، باید کاملاً مورد اعتماد قرار گیرند (بررسی کنید که چگونه با احراز هویت تشخیص چهره برخورد می کنیم).

لازم به یادآوری آن است:

  • شما باید از یک کارمند به عنوان تأیید کننده دوم استفاده کنید ، تا زمانی که تأیید کنید که 100 ٪ ایمن است ، به تأیید صحت تشخیص خودکار چهره اعتماد نکنید.
  • تمام چک ها باید در سمت سرور انجام شود.
  • ایده خوبی است که چک های بیشتری را برای احراز هویت تشخیص چهره اعمال کنید.

عواقب احتمالی غفلت از این گروه:

  • ایجاد حساب با داده های جعلی.
  • جعل مشتری.
  • مبادله ای که برای پولشویی استفاده می شود.

2. احراز هویت

احراز هویت کاربر نادرست اولین قدم برای به دست آوردن حساب حساب است. روشهای متداول برای به خطر انداختن حسابها و سرقت هویت کاربر شامل حملات بی رحمانه مانند حدس زدن رمز عبور و پاشش ، حملات فیشینگ و ادغام ناامن با خدمات خارجی است. حتی اگر راه حل به خوبی شناخته شده و اثبات شده باشد - هنوز مکانهای زیادی وجود دارد که ممکن است چیزی پیش برود (مثال OAUTH).

به مکانیسم های احراز هویت توجه زیادی کنید و مطمئن شوید که آنها به درستی اجرا شده اند.

  • احراز هویت چند عاملی را معرفی کنید ، به خطر انداختن تمام شواهد لازم بسیار سخت تر از ورود به سیستم و رمز عبور است.
  • اطمینان حاصل کنید که ادغام با خدمات خارجی به طور ایمن اجرا شده است.
  • تقاضای رمزهای عبور قوی از کاربران ، آنها را ترغیب کنید تا از مدیران رمز عبور استفاده کنند یا حداقل مکانیسم هایی را که مانع استفاده از مدیران رمز عبور می شود ، اجرا نکنید.
  • در صورت بیش از تعداد مشخصی از تلاشهای ورود به سیستم ، قفل های کاربر موقت و دائمی را معرفی کنید.
  • از Captcha برای تمایز انسان ها از اسکریپت های مخرب استفاده کنید.

عواقب احتمالی غفلت از این گروه:

  • حساب مشتری تصاحب می شود.
  • سرقت رمزنگاری فوری حساب های به خطر افتاده.
  • تعداد زیادی از حساب های جعلی.

3. رسیدگی به جلسه

پس از احراز هویت موفقیت آمیز ، یک کاربر یک شناسه منحصر به فرد دریافت می کند که به همان اندازه با ارزش و حساس است. موضوعات زیر ممکن است یک خطر امنیتی در اینجا باشد: مکانیسم تولید جلسه به شدت اجرا شده ، تصادفی بد ، عدم وجود پرچم های امنیتی در کوکی ها ، ذخیره ناامن شناسه جلسه و جلسات طولانی مدت.

برای رسیدگی صحیح جلسات کاربران:

  • نشانه های جلسه باید منحصر به فرد و تصادفی باشند.
  • به طور پیش فرض ، API های ذخیره سازی وب (LocalStorage ، SessionStorage) را به عنوان ذخیره سازی ایمن رفتار نکنید.
  • برای محافظت از کوکی های خود ، پرچم های امن ، httponly و samesite را وارد کنید.
  • عنوان های امن HTTP را اضافه کنید (یعنی امنیت حمل و نقل دقیق HTTP).
  • از نشت به اشخاص ثالث جلوگیری کنید.
  • جلسات را بعد از 2-5 دقیقه عدم تحرک یا بعد از ورود به سیستم منقضی کنید. باید ابطال شود ، نه "پاکسازی".

عواقب احتمالی غفلت از این گروه:

  • مهاجم نشانه جلسه کاربر را به عهده می گیرد و بدون دانستن اعتبارنامه قادر به انجام یک عمل خواهد بود.
  • مهاجم قادر به پیش بینی نشانه های معتبر جلسه و حساب قربانی خواهد بود.

4. کنترل دسترسی

مکانیسم کنترل دسترسی از حریم خصوصی کاربران و بودجه آنها در زمینه مبادلات رمزنگاری محافظت می کند. در بیش از 16 سال تجربه ، ما با بسیاری از اشکالات ناشی از مجوز نادرست روبرو شده ایم. بعضی اوقات حتی یک فهرست یا عملکرد محافظت نشده منجر به سازش کامل برنامه می شود.

مکانیسم کنترل دسترسی در تبادل رمزنگاری شما باید:

  • تأیید صحت طرف سرور آیا کاربر فعلی قادر به انجام اقدامات داده شده است (حذف یا پنهان کردن ویژگی ها و منابع فقط در رابط کاربری ، امنیت را تضمین نمی کند.)
  • مجوز اضافی (2FA) را برای عملیات حساس (به عنوان مثال تغییر رمز عبور ، انتقال یا برداشت) اجرا کنید.

عواقب احتمالی غفلت از این گروه:

  • دسترسی به داده های شخصی مشتری Exchange (به عنوان مثال تعادل ، PII).
  • انجام عملیات به نمایندگی از سایر کاربر (از جمله عملیات حساس مانند برداشت cryptocurrency).
  • افزایش امتیاز.

5. امنیت کیف پول

اگر بخواهیم یک دارایی اصلی مبادله رمزنگاری را نشان دهیم ، مطمئناً بودجه کاربران خواهد بود. ذخیره آنها به روشی نامناسب نه تنها می تواند در نقدینگی مبادله تأثیر بگذارد ، بلکه شهرت آن یا بدتر از آن - از دست دادن بودجه نیز تأثیر می گذارد. برای جلوگیری از این امر ، مبادلات رمزنگاری باید از کیف پول های سرد استفاده کند تا با خیال راحت وجوه اضافی را که برای تأمین نقدینگی لازم نیست ، جدا کنند.

متأسفانه ، همه صرافی ها خطرات انتقال بین کیف پول سرد و داغ را در نظر نمی گیرند و چه کسی به آن دسترسی دارد. اگر اتفاقی برای یک و تنها شخص مجاز به انجام چنین انتقال باشد ، چه اتفاقی می افتد؟یا اگر یک مهاجم شخصی در داخل شرکت باشد؟به عنوان مثال ، شخصی با حقوق انتقال کیف پول سرد؟

برای ذخیره ایمن وجوه مبادله و حفظ شفافیت:

  • برای حفظ تعادل بین نقدینگی و امنیت از کیف پول های سرد و داغ استفاده کنید.
  • معرفی Multisig به عملیات مهم مانند انتقال از کیف پول سرد.
  • آدرس یک کیف پول سرد را منتشر کنید تا از نظر کاربران معتبر باشد.

عواقب احتمالی غفلت از این گروه:

  • سرقت تمام صندوق های مبادله cryptocurrency.
  • صندوق های مبادله قفل شده.
  • انتقال تصویب نشده از کیف پول سرد توسط بازیگر تهدید خودی.
  • ریسک بالای کمپین های فیشینگ و از دست دادن تمام بودجه به دلیل اشکالات امنیتی.

6. امنیت TLS

مبادله cryptocurrency ، مانند هر برنامه وب دیگر ، باید مکانیسم های امنیتی اساسی را در نظر بگیرد. ارتباطات بدون رمزگذاری یا استفاده از رمزهای ضعیف می تواند منجر به رهگیری داده های حساس در طی یک مرد در حمله میانه شود.

برای محافظت از لایه حمل و نقل:

  • از TLS استفاده کنید ، اجازه ارتباط متن روشن را نداشته باشید (ترجیحاً در نسخه TLS 1. 3).
  • از پیکربندی صحیح TLS مراقبت کنید و آن را بررسی کنید (یعنی آیا الگوریتم های رمزگذاری وجود دارد که در پیکربندی من از نظر رمزنگاری ضعیف است؟).
  • گواهینامه های خود را بطور خودکار به روز کنید ، اجازه ندهید که آنها منقضی شوند.

عواقب احتمالی غفلت از این گروه:

  • نشت داده های حساس کاربر از طریق ارتباطات بدون رمزگذاری.

7. سپرده ها و برداشت ها

مبادله cryptocurrency ، دقیقاً مانند سایر مبادلات ، باید به درستی سپرده ها و برداشت ها را انجام دهد. برخی از خطرات یکسان هستند ، اما برخی به دلیل خاصیت خاص رمزنگاری می توانند مشکل تر باشند. بازه های زمانی مختلفی وجود دارد که ثابت می کند یک رمزنگاری خاص می تواند متعلق به آن در نظر گرفته شود. وقتی صحبت از برداشت می شود ، ما نمی توانیم حملات کوتاه آدرس را فراموش کنیم که می تواند منجر به سرقت بودجه شود.

به سپرده ها و برداشت ها به درستی توجه کنید:

  • اعتبارسنجی آدرس هایی را برای جلوگیری از حملات آدرس کوتاه دریافت کرد.
  • سیستم باید دارایی های رمزنگاری کاربر را پس از لغو پرداخت تنها پس از اطمینان از اطمینان از این که وجوه هنوز در اختیار ارز است ، رزرو کند.
  • سپرده های رمزنگاری باید پس از دریافت تأیید مناسب وابسته به رمزنگاری ، رزرو شوند (گاهی اوقات تعداد مشخصی از بلوک ها کافی نیست).

عواقب احتمالی غفلت از این گروه:

  • تصویب برداشت بودجه بیشتر از مشتری در حساب خود.
  • نقدینگی تبادل رمزنگاری با فرضیات مغایر است
  • سپرده های تأیید نشده.

8. ادغام پرداخت فیات

مبادلات cryptocurrency ، در کنار نقل و انتقالات سنتی ، روش های دیگری را برای انجام سپرده ها معرفی می کند تا آن را برای کاربران خود راحت تر کند. در صورت ادغام ناامن با ارائه دهندگان پرداخت ، مبادله نقطه پایانی را ایجاد می کند که برای تأیید عمومی پرداخت می شود. این نقطه پایانی توسط یک ارائه دهنده پرداخت برای تأیید پرداخت پس از پذیرش و رزرو استفاده می شود. نقطه پایانی عمومی به مهاجمان بالقوه اجازه می دهد تا مستقیماً با آن تماس بگیرند و پرداخت هایی را که توسط ارائه دهنده پرداخت انجام نشده است ، تأیید کنند. یکی دیگر از حمله های بالقوه به ادغام ناامن ، تغییر داده های پرداخت است که به ارائه دهنده ارسال می شود. اگر داده ها دارای فرمت نامشخصی نباشند ، مهاجم می تواند پارامترهای خود را تغییر دهد و به عنوان مثال برای رمزنگاری بیشتر فیات کمتری بپردازد. بررسی یکپارچگی هنوز هم برای داده های مختلف موفق خواهد شد.

در طول ادغام فیات به یاد داشته باشید:

  • اطمینان حاصل کنید که یکپارچگی داده های ارسال شده توسط یک اپراتور پرداخت را به عنوان مثال تأیید کنید. توسط HMAC
  • اطمینان حاصل کنید که اپراتور پرداخت از قالب داده های بدون ابهام استفاده می کند.
  • عملکرد پاسخ به تماس را به درستی پیکربندی کنید (آن را فقط برای IP اپراتور پرداخت در دسترس قرار دهید).

عواقب احتمالی غفلت از این گروه:

  • تعادل کمبود مبادله به دلیل رزرو نادرست پرداخت.
  • پذیرش سپرده های فیات تأیید نشده.

9. عملیات و نقل و انتقالات ارز

نقل و انتقالات در صورت وجود مبادلات رمزنگاری ، علاوه بر امنیت ، باید به دلیل نوسانات زیاد در قیمت های رمزنگاری با گذشت زمان نسبتاً سریع انجام شود. ما اهمیت سرعت و راحتی معامله را درک می کنیم. با این حال ، امنیت نباید از این امر رنج ببرد. شرایط مسابقه داخلی یا گرد شدن نادرست مکانهای اعشاری ممکن است منجر به از دست دادن بودجه شود.

نقل و انتقالات داخلی (به عنوان مثال بین کیف پول های متعلق به همان حساب) نیز باید برای دور زدن اشکالات و شرایط مسابقه بررسی شود.

این قوانین به امنیت معاملات و مبادله ارز کمک می کند:

  • برای تعداد دقیق اعشار پشتیبانی شده برای یک رمزنگاری داده شده (به عنوان مثال 18 به طور پیش فرض برای نشانه های ERC20) دستورالعمل ها را تعریف و دنبال کنید.
  • اگر قابلیت اضافه کردن گیرندگان قابل اعتماد را دارید ، حتماً یکپارچگی داده های آنها را بررسی کنید.
  • اعتبار سنجی ، بررسی تعادل ، همه چیز از Fiat World نیز باید در اینجا بررسی شود.
  • این قوانین را نه تنها در عملیات بین کاربران مختلف اعمال کنید (نقل و انتقالات ، خریدها ، فروش) بلکه به عملیات در همان حساب (به عنوان مثال نقل و انتقالات بین کیف پول های متعلق به همان کاربر).

عواقب احتمالی غفلت از این گروه:

  • رزرو نادرست نقل و انتقالات منجر به از دست دادن بودجه.

10. محدودیت و مجوز عملکرد حساس

اضافه کردن برخی از ویژگی های امنیتی اضافی نه تنها می تواند سطح حمله را محدود کند بلکه از آن نیز به طور کامل جلوگیری می کند. حتی اگر حساب آنها به خطر بیفتد ، باید از بودجه کاربران مراقبت شود.

برای محافظت از کاربران خود نیاز دارید:

  • محدودیت هایی را برای عملیات مربوط به دارایی های رمزنگاری (به عنوان مثال عقب نشینی) معرفی کنید ، تنظیمات پیش فرض ایمن را پیشنهاد کنید و به کاربران اجازه دهید تا آنها را بر اساس نیازهای خود تنظیم کنند.
  • به طور پیش فرض برای مجوز عملکرد حساس به مجوز چند عاملی (MFA) نیاز دارد. برای تغییر محدودیت ها به MFA نیاز دارید.
  • چندین روش مجوز مختلف را برای انتخاب کاربران فراهم کنید. اعلان های فشار از برنامه تلفن همراه به عنوان یک پیکربندی پیش فرض انتخاب خوبی است.
  • کد مجوز باید منحصر به فرد و تصادفی باشد.
  • به کاربران اجازه دهید گیرندگان قابل اعتماد را تعریف کنند. یکپارچگی داده آنها را تأیید کنید.

عواقب احتمالی غفلت از این گروه:

  • سرقت تمام وجوه از حساب به خطر افتاده مشتری.
  • استفاده از یک حساب به خطر افتاده برای پولشویی و سایر اهداف غیرقانونی.

ادامه دارد…

من امیدوارم که شما با اکثریت قریب به اتفاق این دسته ها آشنا باشید و به عناصر ذکر شده در بالا توجه کنید ، و اگر اینگونه نباشد ، این اقدام را انجام می دهید و از امنیت هم مبادله و هم کاربران آن مراقبت خواهید کرد.

نکات باقیمانده در بخش دوم این مقاله ارائه می شود که به زودی در دسترس خواهد بود. اگر می خواهید اولین کسی باشید که در مورد پست آگاه هستید ، در خبرنامه ما در زیر مشترک شوید ، یا فقط در رسانه های اجتماعی ما را دنبال کنید.

در همین حال ، اگر می خواهید با امنیت مبادله رمزنگاری خود مشورت یا بررسی کنید ، از استفاده از فرم تماس دریغ نکنید.

*توجه: این سریال با همکاری Damian Rusinek و Marcin Kolago از Coinerro نوشته شده است.

تجارت با گزینه‌‌های باینری...
ما را در سایت تجارت با گزینه‌‌های باینری دنبال می کنید

برچسب : نویسنده : حمیدرضا پگاه بازدید : 24 تاريخ : چهارشنبه 7 تير 1402 ساعت: 20:10

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه