慢霧科技在推動(dòng)區(qū)塊鏈?zhǔn)澜绲陌踩?lián)防及對(duì)抗日趨嚴(yán)峻的地下黑客攻擊工作上做了許多沉淀，本篇安全監(jiān)測(cè)報(bào)告，慢霧科技的區(qū)塊鏈威脅情報(bào)系統(tǒng)(B

慢霧科技在推動(dòng)區(qū)塊鏈?zhǔn)澜绲陌踩?lián)防及對(duì)抗日趨嚴(yán)峻的地下黑客攻擊工作上做了許多沉淀，本篇安全監(jiān)測(cè)報(bào)告，慢霧科技的區(qū)塊鏈威脅情報(bào)系統(tǒng)(BTI)提供了相關(guān)素材支撐，慢霧科技將從幣安(Binance)這個(gè)世界頂級(jí)的數(shù)字貨幣交易所為安全監(jiān)測(cè)對(duì)象，簡(jiǎn)析下慢霧科技的評(píng)估結(jié)論。

幣安安全監(jiān)測(cè)分析

慢霧科技于 2018 年 12 月和幣安開始正式對(duì)接安全，持續(xù)到現(xiàn)在，慢霧科技針對(duì)幣安做了許多安全監(jiān)測(cè)的工作，在這，我們正式做些必要的披露以客觀看待幣安當(dāng)下的安全體系能力。

據(jù)慢霧科技的近期安全監(jiān)測(cè)顯示，幣安的生產(chǎn)環(huán)境架構(gòu)、服務(wù)器安全、應(yīng)用安全、錢包私鑰安全、辦公環(huán)境安全等重要安全項(xiàng)目當(dāng)前處于優(yōu)質(zhì)狀態(tài)，同時(shí)幣安的風(fēng)控體系完善，配備多項(xiàng)措施保障用戶資產(chǎn)安全。慢霧科技對(duì)幣安當(dāng)前的安全體系建設(shè)工作整體評(píng)估為：優(yōu)秀。

在幣安風(fēng)控體系方案，我們列舉幾項(xiàng)重要的點(diǎn)：

1. 前置 WAF(Web Application Firewall)，全站 HTTPS

結(jié)論：優(yōu)秀

描述：幣安關(guān)鍵業(yè)務(wù)相關(guān)的域名及 IP 都做了全面的 WAF 策略，這個(gè)策略可以很好抵御來自外部針對(duì) Web 服務(wù)的直接攻擊，同時(shí)全站 HTTPS 策略，可以防止?jié)撛诘闹虚g人劫持攻擊風(fēng)險(xiǎn)。這些對(duì)于用戶來說，通過 Web 及 App 訪問幣安的服務(wù)是安全且隱私的。

2. 未明文傳輸關(guān)鍵敏感信息(如密碼)

結(jié)論：優(yōu)秀

描述：通過相關(guān)安全工具及人工的審計(jì)，幣安用戶在幣安上做的關(guān)鍵敏感操作所傳輸?shù)臄?shù)據(jù)做了額外一層安全加密保護(hù)。

3. 在各類敏感操作上都需要通過 2FA，如 API 的創(chuàng)建與修改，賬戶地址的綁定與修改，資金劃轉(zhuǎn)等

結(jié)論：優(yōu)秀

描述：2FA 指雙因素認(rèn)證，這個(gè)策略是安全策略里的最佳安全實(shí)踐，幣安針對(duì)用戶的敏感操作尤其涉及到資金的操作都做了全面完備的 2FA 策略，可以大大降低用戶被盜號(hào)攻擊、撞庫攻擊導(dǎo)致的風(fēng)險(xiǎn)。幣安的 2FA 策略還引入了世界領(lǐng)先的 YubiKey 方案，在 2FA 方面，幣安已經(jīng)走在了最前沿。

4. 找回密碼后 24 小時(shí)內(nèi)不能進(jìn)行提現(xiàn)操作

結(jié)論：優(yōu)秀

描述：找回密碼是業(yè)務(wù)正常邏輯，但也可能被惡意利用，許多地下黑客會(huì)通過獲取用戶的郵箱等權(quán)限，在目標(biāo)業(yè)務(wù)上進(jìn)行密碼找回達(dá)到修改密碼的目的，從而立即發(fā)起盜幣攻擊。24 小時(shí)策略，平衡了正常業(yè)務(wù)體驗(yàn)和這類安全風(fēng)險(xiǎn)，給遭遇這類安全風(fēng)險(xiǎn)的用戶相對(duì)多的時(shí)間進(jìn)行彌補(bǔ)防御。

5. 郵件/網(wǎng)站有防釣魚提醒

結(jié)論：優(yōu)秀

描述：許多用戶賬號(hào)被盜的原因來自遭遇了釣魚網(wǎng)站的攻擊，幣安的“防釣魚提醒”增強(qiáng)了用戶的安全意識(shí)，可以降低用戶被釣魚的概率。

6. 首次登錄有安全教育

結(jié)論：優(yōu)秀

描述：數(shù)字貨幣領(lǐng)域?qū)υS多新人來說是個(gè)陌生的領(lǐng)域，新人是被攻擊的高危人群，在首次使用幣安的服務(wù)時(shí)有安全教育機(jī)制，對(duì)用戶來說是種很好的安全引導(dǎo)。無論是“防釣魚提醒”還是相關(guān)“安全教育”，幣安做到了第一。

7. 引入安全性較高的第三方鏈接

結(jié)論：優(yōu)秀

描述：安全體系建設(shè)工作中，第三方資源的安全是很容易被忽視的，幣安的業(yè)務(wù)謹(jǐn)慎引入了第三方資源，大大降低了由于第三方出安全問題間接導(dǎo)致幣安出安全問題的風(fēng)險(xiǎn)。在幣安的業(yè)務(wù)前端引入的第三方鏈接是來自 Google 的相關(guān)服務(wù)，Google 的安全等級(jí)在業(yè)內(nèi)被普遍稱道。

8. 應(yīng)急響應(yīng)速度與全面性能力

結(jié)論：優(yōu)秀

描述：幣安安全團(tuán)隊(duì)對(duì)來自第三方安全機(jī)構(gòu)、外部安全威脅的應(yīng)急響應(yīng)很及時(shí)，且依托自身安全體系沉淀，應(yīng)急響應(yīng)能做到全面性覆蓋。幣安的“SAFU 基金”可以很好應(yīng)對(duì)黑天鵝事件下用戶資產(chǎn)安全可能導(dǎo)致?lián)p失的賠付工作。

9. 資金安全策略

結(jié)論：優(yōu)秀

描述：幣安針對(duì)用戶資金的錢包安全架構(gòu)采用的是冷熱分離設(shè)計(jì)，并在私鑰的生成、存儲(chǔ)及使用環(huán)節(jié)嚴(yán)格采用了私鑰絕對(duì)密文策略，同時(shí)在這些環(huán)節(jié)采用了多層安全風(fēng)控機(jī)制，其中的 KYT 策略能做到對(duì)每筆交易的監(jiān)測(cè)與異常發(fā)現(xiàn)。

10. 完成第三方安全機(jī)構(gòu)審計(jì)

結(jié)論：優(yōu)秀

描述：幣安通過了慢霧科技的第一次安全審計(jì)，幣安當(dāng)下安全體系建設(shè)工作進(jìn)展順利。

除了上述這些風(fēng)控體系相關(guān)的審計(jì)結(jié)論，我們也認(rèn)為幣安在安全方面的其他工作做了許多努力，其中包括：及時(shí)透明的披露態(tài)度;自身安全團(tuán)隊(duì)的持續(xù)組建工作;與安全社區(qū)的關(guān)系維護(hù);面向整個(gè)數(shù)字貨幣行業(yè)的安全分享工作;幣安的去中心化交易所(Binance DEX)上線運(yùn)行。我們認(rèn)為幣安是一家以安全為生命線的企業(yè)。

通過慢霧科技與幣安近一年的安全互動(dòng)情況來看，幣安體量巨大，安全體系建設(shè)還有不少路要走，雖然核心模塊的安全已經(jīng)做到了優(yōu)秀，但安全是個(gè)整體，也是個(gè)持續(xù)動(dòng)態(tài)發(fā)展的過程，一些安全還存在一定的邊界盲區(qū)。有些安全工作是需要內(nèi)部安全團(tuán)隊(duì)不斷加強(qiáng)，但有些可以和業(yè)內(nèi)知名安全機(jī)構(gòu)合作，其中包括：AML、威脅情報(bào)、人員安全教育、滲透測(cè)試、紅藍(lán)對(duì)抗、外部安全監(jiān)測(cè)、相關(guān)安全防御產(chǎn)品等，并加深全球白帽黑客的關(guān)系維系，將安全護(hù)城河能力再上一層樓。

關(guān)于安全監(jiān)測(cè)報(bào)告

慢霧科技力求以最客觀最職業(yè)的第三方安全機(jī)構(gòu)視角，在獲得幣安書面授權(quán)情況下，針對(duì)幣安目標(biāo)業(yè)務(wù)進(jìn)行全面的安全體系建設(shè)工作的持續(xù)安全監(jiān)測(cè)并輔以場(chǎng)內(nèi)確認(rèn)，最終根據(jù)雙方意愿客觀披露階段性的安全監(jiān)測(cè)結(jié)果。（慢霧安全團(tuán)隊(duì)）

關(guān)鍵詞： 幣安 安全評(píng)估 2FA