如何選擇安全的交易所

# 前言

交易所可以說是 Web3.0 中心化服務的核心,但在近幾年交易所資安事件頻傳,找一些更科學的方式來選交易所變得相當重要,憑感覺選越來越危險了。

# 基礎判斷方法

在資訊不夠充足,或者剛開始投資的時候,很常用下列三個條件來選交易所,這些方法並非錯誤,但只靠這些是不夠的,理由跟原因後面會進行更完整的說明,把這些項目列出來更多是為了讓大家檢查一下,是否只仰賴這幾個方式來判斷。

# 1. 規模大小:

優先選擇規模大的交易所,感覺上規模與安全、品質等等成正比。

# 2. 中文化:

中文介面與中文客服,如果有真人客服更好。

# 3. 操作流暢:

包含平台操作體驗、流暢度、資訊透明度等等,通常覺得技術能力與安全性有正相關。

# 從資安的角度來看

# 如果想吃到一條新鮮的魚,比起學釣魚找一間賣活魚的店更快

接下來介紹的方法大致可分為兩類,一種是專家幫你整理好的交易所資安評級,另一種是專家整合了各種非侵入式掃描的平台,強調非侵入式是因為未經授權測試如果影響到對方的服務,會有法律上的責任,所以在評估別人的網站時只建議做非侵入式的測試。

# 1. 資安評級:

# 工具連結: CER.Live

查詢資安評級來判斷交易所安全性,是最快也最方便的方法,CER.Live 使用自己的方法對 300 多家著名的加密貨幣交易所進行評估,有 111 家交易所獲得了安全認證,可惜的是並非所有交易所都有付錢找 CER.Live 做比較深入的測試,未深入檢測的交易所自然拿不到太高的分數,如果你想選的交易所是已通過認證的其中之一,CER.Live 就能幫你快速了解這間交易所的安全等級。

CER.Live 除了看交易平台的安全以外也會把有沒滲透測試、賞金計畫、保證金等等納入評級,從平台上都可以快速查詢,下圖是安全性前 10 名的交易所。


資料來源: https://cer.live/

# 2. 資安事件:

# 工具連結: SlowMist

判斷安全性的另一種方式就是看它過去是否曾經出過事,SlowMist 幫我們整理與區塊鍊有關的資安事件,而且附上了損失金額與攻擊方式,對評估交易所的安全性有很直觀的幫助,在選交易所前用搜索功能查一下有興趣的交易所是否發生過資安事件。

有一些交易所平台本身很安全,但是在管理面卻有疏失,像是金鑰被員工偷走、開發者捲款逃亡等等,這類問題靠掃描工具對平台進行測試是不太可能發現的,從資安事件紀錄來看比較有機會看出端倪。

下圖是文章撰寫當下最近發生的兩個資安事件,已圖中發生的事件為例, 就不推薦在 audius(https://audius.co/) 平台進行交易,因為攻擊的類型屬於合約漏洞,而且損失金額也不小。


資料來源: https://hacked.slowmist.io/

# 3. 交易量統計:

# 工具連結: CoinGecko

# 工具連結: CoinMarketCap

雖然乍看之下交易量與資安沒有較大的關聯性,但實際上有很多資安事件可以從交易量看出端倪,經典案例就是一些已捲款為目的發行的數位貨幣或智能合約,下面是一個經典的新聞案例

新聞連結: DeFi 韭菜的自白:我買到了「百倍幣」,但卻賣不出去

想避開充斥這類商品的無良交易所,交易量與流通性就非常重要,這些資訊通常可以在交易所內的交易資訊中找到,但為了防止造假或灌水,選用非交易所的第三方平台來分析就很重要,這邊推薦 CoinGecko 與 CoinMarketCap,這兩個平台會藉由追蹤交易所的交易地址,並藉此分析交易所的交易量,我們可以利用這類平台快速找出交易所的交易量。


資料來源: https://www.coingecko.com/zh-tw/交易平台

# 進階判斷方法

# 如果店內沒賣你想吃的魚,還是乖乖學怎麼釣魚 !

如果你評估的交易所中是一個比較新的平台,雖然沒有發生過資安事件,卻不在評級網站的安全名單中,而你想利用免費的資安工具來對交易所做一點安全性測試,這邊推薦兩個非侵入式的掃描工具,防止未經授權的測試影響到對方的服務,避免被判定為攻擊而觸法,接著會簡單介紹一下工具的同時也說明選用的原因。

# 1. 加密(SSL/TLS)強度:

# 工具連結: SSL Labs



SSL Labs 可以找出網站所有支援的 SSL/TLS 加密方法,在依照加密方法的強度對網站進行評分,建議選擇評價 A 以上的交易所,大幅降低溝通內容被解密帶來的資訊外洩風險。

在 HTTPS 的網站中你與交易所溝通的內容是加密的,不會因為封包外流而導致交易資訊被其他人知道,網站為了跟不同類型的用戶溝通會提供複數加密方式讓用戶選用,但一些較舊的加密方式已經證實可以被破解,為了與舊系統溝通(像是使用 IE 瀏覽器的 Windows XP)所以很多網站依然保留這些弱加密方式,讓駭客有了鑽漏洞的機會,雖然解密耗費的成本跟其他攻擊比起來很高,通常攻擊者比較少選用這種方法攻擊一般網站,但在知道對象是交易所時就是另當別論了,與錢有關的資訊是值得駭客花大量時間來破解的,此時加密的強度就非常關鍵。

# 2. 網站套件檢查:

# 工具連結: Snyk website-scanner

Snyk 可以用來檢查網站是否用了不安全的套件,不安全的定義為該套件當前使用的版本曾被通報過有漏洞,使用的話會有對應的風險。

建築蓋的再漂亮,地基不穩的話地震搖一下就倒了,不管是架站選用的伺服器,還是安裝在網站中的第三方套件都會影響到網站的安全性,一般我們會期待交易所用較新且較安全的套件,所以評估的時候也是最優先關注這兩點,先利用 Snyk 檢查網站用的套件是否有安全性問題,該工具會掃描網站上的套件版本後與漏洞(CVE)通報平台上的資料作比對,再藉由 Snyk 找出的版本資訊,查詢該版本釋出的日期,若交易所使用已不在維護的套件,也是一個評估時的扣分項。

# 總結

前面介紹了各種不同的方法來評估交易所安全性,雖然各自的特點不太一樣,但彼此之間是不衝突的,如果你有打算進行大額或長期的交易,可以選擇各方法之間的交集。

如果你今天想買的是比較熱門的幣種或合約,選擇交易所時推薦先看評級再看交易量,這兩個查詢上較為快速且直觀,接著再檢查有沒有重大的資安事件。但假設想追求的是高風險高報酬這類較小眾或新興的幣種交易,交易量不高也沒進評級就只能自行用工具檢測。

最後的最後業配一下,如果你覺得分析這些太複雜,想直接找專家給你更肯定的答案,Cymetrics 也有提供這樣的服務,尤其是針對 Web3.0 各類檢測服務都歡迎直接聯絡我們。

Tag

Recommendation

  1. 資安也要自動化 Selenium
  2. 基於 JS 原型鏈的攻擊手法:Prototype Pollution
  3. 關於 email security 的大小事 — 延伸篇
  4. Java’s Thread Model and Golang Goroutine
  5. 零基礎資安系列(三)-網站安全三本柱(Secure & SameSite & HttpOnly)

Discussion(login required)