集中式加密货币交易所一直是黑客的目标,越来越老练的恶意行为者找到了越来越巧妙的方法来掠夺他们数百万美元的资产。
根据最近的研究,2024年第二季度,黑客和欺诈造成了超过5亿美元的损失,其中大部分由交易所等集中式加密金融机构造成。
Gate.io首席安全官D告诉Decrypt:“一些交易所没有充分使用冷钱包来保护用户资金。”。“他们没有及时更新和修补软件漏洞,也没有公开披露安全审计结果和漏洞报告。”
作为交易量排名前十的加密货币交易所之一,Gate.io开发了一种“多层安全方法”,以保护其1600万用户的账户,并制定了积极主动的策略来应对黑客构成的威胁。
集中式交易所有四种主要攻击媒介:黑客攻击、网络钓鱼攻击、内部威胁和软件漏洞。网络钓鱼攻击是指用户被坏人欺骗,直接或通过网络钓鱼链接泄露其帐户信息。内部威胁涉及组织内的个人变得无赖并成为不良行为者,或者他们的疏忽为黑客获取用户资金创造了机会。当攻击基于软件漏洞时,意味着不良行为者利用了平台自己的代码。
Gate.io告诉Decrypt,为了应对这些威胁,交易所雇佣了一支专门的安全专家团队,他们使用基于风险的策略来“维护最高级别的用户资产保护”。虽然一些交易所对安全采取被动应对的方式,只在安全出现问题时才关注安全,但Gate.io会主动审计和压力测试他们的平台,定期针对潜在威胁进行压力测试。
Gate.io“积极与监管机构合作,确保平台符合当地和国际法规,”交易所首席安全官表示,并解释说,交易所采用了包括多因素身份验证(MFA)、冷钱包存储和先进加密技术在内的安全措施。他们补充道,它还定期进行安全审计和安全意识培训,以防止内部威胁。
首席安全官告诉Decrypt:“我们在传统安全措施的基础上增加了独特的安全层,并为用户提供了方便的安全工具。”。
这些工具包括绑定IP,这是一项使用户能够将其帐户绑定到特定IP地址或一系列IP地址的功能。首席安全官表示:“这大大提高了账户安全性,尤其是在防止远程攻击方面。”。他们补充道,即使在“不安全的环境中,比如在劫持期间”,如果黑客获得了用户的登录凭据,他们也无法从未经授权的IP地址访问该帐户。
图片:Gate.io此外,他们表示,“我们已经实现了网络钓鱼代码设计,允许用户通过自定义sologo欢迎表格更容易地识别网络钓鱼企图。”
交易所首席安全官解释说,即使黑客能够访问用户的账户,Gate.io用户也有能力“设置额外的特殊密码来解锁提款和交易”,并补充说,该功能确保有安全意识的用户可以限制对其资金的访问。
除了直接针对黑客构成的威胁外,Gate.io还承诺始终保持透明的准备金证明,以便让客户放心。Gate.io的一位代表告诉Decrypt,其储量证明解决方案将零知识证明技术与Merkle Tree相结合。
图片:Gate.io首席安全官解释道:“Merkle Tree可以有效验证大量数据的完整性,包括所有用户的资产信息,而不包括净负资产。”他补充道,“零知识证明用于证明特定数据属于该Merkle Tree,而不披露任何其他信息。”
首席安全官补充道,为了增强行业的信任和透明度,Gate.io还开源了他们的储备证明解决方案。
