في 13 أبريل 2021 ، تحالف أمان السحابة (CSA) Blockchain / مجموعة عمل دفتر الأستاذ الموزع أصدرت إرشادات أمان Crypto-Asset Exchange - وهي مجموعة من الإرشادات وأفضل الممارسات لأمان تبادل الأصول المشفرة (CaE). تم إنشاء مجموعة الإرشادات للمساعدة في تثقيف المستخدمين وواضعي السياسات ومحترفي الأمن السيبراني حول إيجابيات وسلبيات تأمين المزيد من مزودي خدمة الأصول الافتراضية ، من التبادلات المركزية و المحفظة المستضافةالمحفظة المستضافة هي خدمة عبر الإنترنت حيث ... المزيد مقدمو البورصات اللامركزية (DEXs) و العملات المشفرةالعملة المشفرة (أو العملة المشفرة) هي أصل رقمي ... المزيد خدمات المبادلة.
كان الرئيس التنفيذي لشركة CipherTrace ، ديف جيفانز ، مؤلفًا مساهمًا في الإرشادات. فيما يلي مقتطف من الفصل الأول.
1. نمذجة تهديد تبادل الأصول المشفرة
أطر عمل نمذجة التهديدات القائمة على العملة المشفرة القائمة على الأصول قادرة على تحديد مثل هذه المخاطر. يتمثل ابتكار ABC الرئيسي في استخدام مصفوفات التواطؤ. تستخدم مصفوفة التواطؤ نموذجًا للتهديد لتغطية العديد من حالات التهديد مع إدارة العملية في نفس الوقت لمنعها من التعقيد المفرط. نثبت أن ABC فعال من خلال تقديم حالات استخدام في العالم الحقيقي وإجراء دراسة للمستخدم. أظهرت دراسة المستخدم أن حوالي 71٪ من أولئك الذين استخدموا ABC كانوا قادرين على تحديد تهديدات الأمن المالي ، مقارنة بـ 13٪ فقط من المشاركين الذين استخدموا إطار العمل الشائع STRIDE.
رابط تنزيل ملف PDF موجود هنا https://arxiv.org/pdf/1903.03422.pdf
هذا النموذج مفيد لتحليل الهجمات ضد العملة المشفرة نفسها وكذلك تحليل الهجمات ضد التبادلات اللامركزية (DEXs) باستخدام العقود الذكيةما هي العقود الذكية؟ العقد الذكي هو محترف كمبيوتر ... المزيد للتحكم في التداول. ومع ذلك ، للنمذجة ضد الهجمات على المحافظ المستضافة (مثل التبادلات القائمة على السحابة ، ومكاتب OTC ، وخدمات مبادلة العملات المشفرة) ، يمكن أن يكون النهج الأكثر تركيزًا مفيدًا. فيما يلي نعرض قائمة بأفضل 10 تهديدات ضد عمليات التبادل.
نماذج التهديد ضد التبادلات
تندرج أنواع الهجمات التي رأيناها ضد عمليات التبادل في هذه الفئات:
1. بيانات اعتماد مستخدم التصيد الاحتيالي للوصول إلى حسابات العملة المشفرة وتحويل الأموال. يتم دمجها أحيانًا مع اختطاف الرسائل القصيرة لتولي رمز المصادقة المستند إلى الرسائل القصيرة للمستخدم المستهدف.
2. الهجمات الفنية على البورصة لاختراق النظام الداخلي.
أ. يهاجم حقن SQL بمجرد إنشاء حساب أو الوصول إليه.
ب. نقاط الضعف في البرامج المستخدمة لتشغيل التبادل.
ج. البرمجيات غير المصححة المستخدمة من قبل التبادل.
3. التصيد بالرمح للموظفين في البورصة من أجل تجاوز الضوابط المفروضة على عمليات السحب
4. التصيد بالرمح للموظفين في تبادل لزرع البرمجيات الخبيثة (خاصة أحصنة طروادة الوصول عن بعد) مما يسمح للمهاجمين بالوصول إلى الأنظمة الداخلية والتنقل بين البنى التحتية.
5. بمجرد الوصول إلى الأنظمة الداخلية ، غالبًا ما يستخدم المهاجمون واجهات برمجة التطبيقات الداخلية أو أنظمة الوصول حيث لا يوجد تحكم كافٍ في الوصول بين الأنظمة الداخلية ، بحيث يمكنهم التنقل عبر النظام. غالبًا ما يستخدم المهاجمون بيانات الاعتماد المخزنة على أجهزة الكمبيوتر في النظام الداخلي للوصول إلى أنظمة أخرى.
6. الاستخدام غير الملائم أو غير الصحيح لتخزين المحفظة الباردة (غير المتصلة) للمفاتيح الخاصة مقابل تخزين مفاتيح المحفظة الساخنة (عبر الإنترنت) المستخدمة في العمليات اليومية. يجب تخزين 90٪ من العملات المشفرة في البورصة في محافظ باردة غير متصلة بالإنترنت. يجب أن يكون هناك بروتوكول لتهيئة المحافظ الباردة دون اتصال بالإنترنت تمامًا ، لنقل طلبات النقل بين المحافظ الساخنة والمحافظ الباردة (تتطلب عادةً محرك أقراص USB مع تعليمات التوقيع). ضع في اعتبارك multisig للوصول إلى المحافظ الباردة ، والتي تتطلب من موظفين اثنين للتوقيع على معاملة قبل تحويل الأموال من المحافظ الباردة إلى المحافظ الساخنة.
7. كانت التهديدات الداخلية شائعة في التبادلات حيث يتمكن الموظفون من الوصول إلى مفاتيح المحفظة الساخنة ونسخها ، والوصول إلى مفاتيح المحفظة الباردة ونسخها ، أو زرع برامج ضارة أو أحصنة طروادة للوصول عن بُعد على الأنظمة الداخلية مما يتيح لهم الوصول في المستقبل إلى هذه المفاتيح للسرقة الأصول المشفرة.
8. فك تشفير تطبيقات التبادل (iOS أو Android) واكتشاف مفاتيح واجهة برمجة التطبيقات السحابية السرية المضمنة في التطبيق ، ثم استخدام هذه المفاتيح للوصول إلى واجهات برمجة التطبيقات الداخلية التي يمكن استخدامها للوصول إلى المحافظ الساخنة أو بيانات اعتماد المستخدم.
9. نسخ مفاتيح استرداد المحفظة. تحتاج البورصات إلى حماية مفاتيح استرداد محفظتها بحماية أكبر حتى من محافظها الساخنة أو الباردة. إذا حصل المهاجم على نسخة من مفاتيح الاسترداد ، فيمكن إفراغ أصول التبادل بالكامل ، بما في ذلك المحافظ الرقمية الباردة. لا تقم أبدًا بتخزين مفاتيح الاسترداد على الوسائط الإلكترونية. قم بتخزينها مكتوبة على الورق المحفوظ في قبو مادي. هناك أجهزة مادية معدنية أكثر مقاومة للحريق من الورق.
10. الهجمات ضد عملات معينة والتي تستغل نقاط الضعف في تنفيذ البورصة: على سبيل المثال ، العديد من تطبيقات XRP (Ripple) بها خلل يسمح بعمليات استغلال المدفوعات الجزئية. افترض أن تكامل التبادل مع XRP Ledger يفترض أن حقل المبلغ الخاص بالدفع هو دائمًا المبلغ الكامل الذي تم تسليمه. في هذه الحالة ، قد تستغل الجهات الخبيثة هذا الافتراض لسرقة الأموال من المؤسسة. يمكن استخدام هذا الاستغلال ضد البوابات أو التبادلات أو التجار طالما أن برامج تلك المؤسسات لا تعالج المدفوعات الجزئية بشكل صحيح. https://xrpl.org/partial-payments.html#partial-payments-exploit في الأيام التسعة الأولى من سبتمبر 2020 ، تم القضاء على حيازات XRP لثلاث بورصات تمامًا.
يمكن تنزيل إرشادات أمان Crypto-Asset Exchange الكاملة هنا: https://cloudsecurityalliance.org/artifacts/csa-crypto-asset-exchange-security-guidelines-abstract/
المصدر: https://ciphertrace.com/crypto-asset-exchange-threat-modeling/
- 2020
- الوصول
- حسابي
- اليانز
- السماح
- الروبوت
- API
- واجهات برمجة التطبيقات
- التطبيق
- التطبيقات
- ابريل
- حول
- الأصول
- ممتلكات
- التحقّق من المُستخدم
- أفضل
- أفضل الممارسات
- علة
- الحالات
- الرئيس التنفيذي
- سحابة
- سحابة الأمن
- الكود
- المحفظة الباردة
- مشترك
- أجهزة الكمبيوتر
- عقد
- عقود
- أوراق اعتماد
- التشفير
- العملات المشفرة
- العملة
- الأمن السيبراني
- اللامركزية
- مكاتب
- الأجهزة
- رقمي
- الأصول الرقمية
- محافظ رقمية
- الطُرق الفعّالة
- الموظفين
- تبادل
- الاستبدال
- استغلال
- مالي
- الاسم الأول
- الإطار
- بالإضافة إلى
- أموال
- مستقبل
- المبادئ التوجيهية
- هنا
- HTTPS
- تحديد
- بما فيه
- الابتكار
- مطلع
- مؤسسة
- التكامل
- Internet
- آيفون
- IT
- القفل
- مفاتيح
- دفتر الحسابات
- LINK
- قائمة
- طويل
- البرمجيات الخبيثة
- الوسائط
- التجار
- معدن
- نموذج
- مال
- خطوة
- online
- عمليات
- طلب
- OTC
- أخرى
- ورق
- وسائل الدفع
- المدفوعات
- التصيد
- الرائج
- خاص
- مفاتيح خاصة
- برو
- المهنيين
- حماية
- الحماية
- استرجاع
- الوصول عن بعد
- تموج
- أمن
- تهديدات أمنية
- خدماتنا
- طقم
- سمارت
- عقد الذكية
- العقود الذكية
- So
- تطبيقات الكمبيوتر
- تخزين
- متجر
- دراسة
- نظام
- أنظمة
- تقني
- التهديدات
- تيشرت
- تجارة
- صفقة
- USB
- المستخدمين
- قبو
- مقابل
- افتراضي
- مزودي خدمة الأصول الافتراضية
- نقاط الضعف
- محفظة
- محافظ
- من الذى
- XRP