Một báo cáo gần đây của ICO Rating cho thấy chỉ 46% sàn giao dịch tiền mã hóa đáp ứng các thông số bảo mật mong muốn và 54% còn lại được xem là có biện pháp bảo mật dưới mức tiêu chuẩn, đã bị hàng trăm nghìn trader và nhà đầu tư vạch trần. Nhóm sàn giao dịch thử nghiệm gồm 100 sàn, tất cả đều có khối lượng 24 giờ trên 1 triệu USD.
Tổng cộng 1.3 tỷ USD đã bị đánh cắp từ các sàn giao dịch tiền mã hóa bị hack kể từ năm 2010, và có vẻ như các nhà điều hành sàn giao dịch không thực hiện chế độ bảo mật nghiêm túc. Báo cáo bảo mật được xuất bản tuần trước bởi ICO Rating xem xét 4 yếu tố khi thiết lập xếp hạng bảo mật:
• Lỗi giao diện Console
• Bảo mật tài khoản người dùng
• Đăng ký và bảo mật tên miền
• Bảo mật giao thức web
Sau đây là ý nghĩa của 4 yếu tố này.
Lỗi giao diện Console
Lỗi giao diện Console gây ra mất dữ liệu trước đó, mặc dù điều này thường không phải là kết quả của một cuộc tấn công độc hại mà là sự cố code. Báo cáo cho thấy rằng 32% sàn giao dịch có lỗi code dẫn đến sự cố hoạt động.
Bảo mật tài khoản người dùng
Để đo lường điều này, các nhà phân tích tạo ra một tài khoản riêng biệt trên mỗi sàn giao dịch và kiểm tra bảo mật mật khẩu cũng như xác minh email và các biện pháp 2FA. Họ thấy rằng 41% sàn giao dịch cho phép tạo mật khẩu dài hơn 8 ký tự và do đó được coi là không an toàn để sử dụng. 37% sàn giao dịch cho phép người dùng tạo mật khẩu của họ trong số các chữ cái hoặc chữ số mà không kết hợp cả hai, cũng được coi là lỗ hổng bảo mật.
Nghiêm trọng hơn, 5% sàn giao dịch cho phép người dùng tạo tài khoản mà không cần xác minh email và 3% sàn giao dịch thiếu xác thực 2FA (xác thực hai yếu tố yêu cầu người dùng xác nhận bằng thiết bị riêng của họ, được coi là một khía cạnh cơ bản của bảo vệ quỹ).
Đăng ký và bảo mật tên miền
Các nhà phân tích đã sử dụng Cloudflare để xác định các lỗ hổng bảo mật liên quan đến tên miền và công ty đăng ký của họ.
Một số yếu tố được xem xét ở đây, chẳng hạn như khóa đăng ký ngăn mọi người sử dụng phương thức liên lạc ngoài băng tần với việc đăng ký thay đổi tên miền cũng như khóa đăng ký ngăn chặn tấn công miền thông qua các biện pháp bảo mật nâng cao như yêu cầu nhiều mã ủy quyền hơn để truy cập tên miền – các tài khoản vai trò thường được sử dụng để bảo vệ thông tin tên miền nhạy cảm không bị rò rỉ.
Các nhà phân tích khuyến nghị thời hạn 6 tháng cho các lĩnh vực cho phép các biến chứng liên quan đến quyền sở hữu, vv và đã được kiểm tra cùng với sự hiện diện của DNSSEC xác thực tất cả các truy vấn DNS với chữ ký mã hóa để ngăn chặn nhiễm độc bộ nhớ cache.
Các nhà phân tích nhận thấy rằng chỉ có 4% sàn giao dịch sử dụng các phương pháp hay nhất trong tất cả các lĩnh vực này – chỉ có 2% sàn giao dịch sử dụng khóa đăng ký và 10% sử dụng DNSSEC, mặc dù không có sàn giao dịch nào hoàn toàn bỏ qua tất cả 5 thông số.
Bảo mật giao thức web
Các giao thức web đã được kiểm tra về mức độ bảo mật bằng cách sử dụng WebSec bởi HT Bridge. Các nhà phân tích đã kiểm tra tiêu đề HTTPS trong URL, tiêu đề X-SXX-Protection, tiêu đề chính sách bảo mật nội dung, tiêu đề x-frame-options và tiêu đề x-content-type.
Chỉ có 10% sàn giao dịch sử dụng tất cả 5 biện pháp bảo mật, với 29% không sử dụng bất kỳ sự lựa chọn nào đã nêu ở trên và chỉ 17% có tiêu đề chính sách bảo mật nội dung.
Bảo mật chung
Các nhà phân tích sau đó xếp hạng 100 sàn giao dịch theo thứ tự an toàn nhất.
Coinbase Pro dẫn đầu là sàn giao dịch an toàn nhất, với Kraken ở vị trí thứ hai. BitMEX, GOPAX và CDPAX chiếm giữ các vị trí còn lại trong top 5.
Bản báo cáo nêu bật vấn đề liên tục của bảo mật sàn giao dịch tiền mã hóa và nói rằng bản chất của thị trường mã hóa và vấn đề bảo mật sàn giao dịch tiền mã hóa và quy định là điều “thực sự hấp dẫn đối với hacker”.
Thật bất ngờ khi Binance, sàn giao dịch lớn nhất thế giới theo khối lượng thậm chí không có mặt trong top 10.
Xem thêm:
10 ngày làm rung chuyển thế giới của Bitcoin
Huobi ra mắt stablecoin phổ thông mang tên HUSD
Các nhà phát triển Ethereum đồng thuận rời đợt hard fork “Constantiople” đến tháng 1 năm 2019
