幣安安全評估為優秀在2FA方面已經走在最前沿

2019-09-06 14:13:56 來源：區塊網

慢霧科技在推動區塊鏈世界的安全聯防及對抗日趨嚴峻的地下黑客攻擊工作上做了許多沉淀，本篇安全監測報告，慢霧科技的區塊鏈威脅情報系統(B

慢霧科技在推動區塊鏈世界的安全聯防及對抗日趨嚴峻的地下黑客攻擊工作上做了許多沉淀，本篇安全監測報告，慢霧科技的區塊鏈威脅情報系統(BTI)提供了相關素材支撐，慢霧科技將從幣安(Binance)這個世界頂級的數字貨幣交易所為安全監測對象，簡析下慢霧科技的評估結論。

幣安安全監測分析

慢霧科技于 2018 年 12 月和幣安開始正式對接安全，持續到現在，慢霧科技針對幣安做了許多安全監測的工作，在這，我們正式做些必要的披露以客觀看待幣安當下的安全體系能力。

據慢霧科技的近期安全監測顯示，幣安的生產環境架構、服務器安全、應用安全、錢包私鑰安全、辦公環境安全等重要安全項目當前處于優質狀態，同時幣安的風控體系完善，配備多項措施保障用戶資產安全。慢霧科技對幣安當前的安全體系建設工作整體評估為：優秀。

在幣安風控體系方案，我們列舉幾項重要的點：

1. 前置 WAF(Web Application Firewall)，全站 HTTPS

結論：優秀

描述：幣安關鍵業務相關的域名及 IP 都做了全面的 WAF 策略，這個策略可以很好抵御來自外部針對 Web 服務的直接攻擊，同時全站 HTTPS 策略，可以防止潛在的中間人劫持攻擊風險。這些對于用戶來說，通過 Web 及 App 訪問幣安的服務是安全且隱私的。

2. 未明文傳輸關鍵敏感信息(如密碼)

結論：優秀

描述：通過相關安全工具及人工的審計，幣安用戶在幣安上做的關鍵敏感操作所傳輸的數據做了額外一層安全加密保護。

3. 在各類敏感操作上都需要通過 2FA，如 API 的創建與修改，賬戶地址的綁定與修改，資金劃轉等

結論：優秀

描述：2FA 指雙因素認證，這個策略是安全策略里的最佳安全實踐，幣安針對用戶的敏感操作尤其涉及到資金的操作都做了全面完備的 2FA 策略，可以大大降低用戶被盜號攻擊、撞庫攻擊導致的風險。幣安的 2FA 策略還引入了世界領先的 YubiKey 方案，在 2FA 方面，幣安已經走在了最前沿。

4. 找回密碼后 24 小時內不能進行提現操作

結論：優秀

描述：找回密碼是業務正常邏輯，但也可能被惡意利用，許多地下黑客會通過獲取用戶的郵箱等權限，在目標業務上進行密碼找回達到修改密碼的目的，從而立即發起盜幣攻擊。24 小時策略，平衡了正常業務體驗和這類安全風險，給遭遇這類安全風險的用戶相對多的時間進行彌補防御。

5. 郵件/網站有防釣魚提醒

結論：優秀

描述：許多用戶賬號被盜的原因來自遭遇了釣魚網站的攻擊，幣安的“防釣魚提醒”增強了用戶的安全意識，可以降低用戶被釣魚的概率。

6. 首次登錄有安全教育

結論：優秀

描述：數字貨幣領域對許多新人來說是個陌生的領域，新人是被攻擊的高危人群，在首次使用幣安的服務時有安全教育機制，對用戶來說是種很好的安全引導。無論是“防釣魚提醒”還是相關“安全教育”，幣安做到了第一。

7. 引入安全性較高的第三方鏈接

結論：優秀

描述：安全體系建設工作中，第三方資源的安全是很容易被忽視的，幣安的業務謹慎引入了第三方資源，大大降低了由于第三方出安全問題間接導致幣安出安全問題的風險。在幣安的業務前端引入的第三方鏈接是來自 Google 的相關服務，Google 的安全等級在業內被普遍稱道。

8. 應急響應速度與全面性能力

結論：優秀

描述：幣安安全團隊對來自第三方安全機構、外部安全威脅的應急響應很及時，且依托自身安全體系沉淀，應急響應能做到全面性覆蓋。幣安的“SAFU 基金”可以很好應對黑天鵝事件下用戶資產安全可能導致損失的賠付工作。

9. 資金安全策略

結論：優秀

描述：幣安針對用戶資金的錢包安全架構采用的是冷熱分離設計，并在私鑰的生成、存儲及使用環節嚴格采用了私鑰絕對密文策略，同時在這些環節采用了多層安全風控機制，其中的 KYT 策略能做到對每筆交易的監測與異常發現。

10. 完成第三方安全機構審計

結論：優秀

描述：幣安通過了慢霧科技的第一次安全審計，幣安當下安全體系建設工作進展順利。

除了上述這些風控體系相關的審計結論，我們也認為幣安在安全方面的其他工作做了許多努力，其中包括：及時透明的披露態度;自身安全團隊的持續組建工作;與安全社區的關系維護;面向整個數字貨幣行業的安全分享工作;幣安的去中心化交易所(Binance DEX)上線運行。我們認為幣安是一家以安全為生命線的企業。

通過慢霧科技與幣安近一年的安全互動情況來看，幣安體量巨大，安全體系建設還有不少路要走，雖然核心模塊的安全已經做到了優秀，但安全是個整體，也是個持續動態發展的過程，一些安全還存在一定的邊界盲區。有些安全工作是需要內部安全團隊不斷加強，但有些可以和業內知名安全機構合作，其中包括：AML、威脅情報、人員安全教育、滲透測試、紅藍對抗、外部安全監測、相關安全防御產品等，并加深全球白帽黑客的關系維系，將安全護城河能力再上一層樓。

關于安全監測報告

慢霧科技力求以最客觀最職業的第三方安全機構視角，在獲得幣安書面授權情況下，針對幣安目標業務進行全面的安全體系建設工作的持續安全監測并輔以場內確認，最終根據雙方意愿客觀披露階段性的安全監測結果。（慢霧安全團隊）