比特币交易所和网络安全趋势：审计和保险将为您省钱

安全性仍然是加密行业的薄弱环节：2019年，黑客从加密交易所中偷走了近3亿美元。作为对交易所的回应，钱包和处理器采取了激进的措施-从大规模审计到数百万美元的保险计划。尤其对于ForkLog，BDCenter Digital代理发现了加密项目如何保护用户。

去年，发生了11次针对加密货币交易所的重大攻击。因此，3月份，黑客从Coinbene窃取了1.05亿美元。 5月-来自币安（Binance）的4000万美元； 11月，Upbit融资4900万美元。此外，有45万用户从Coinmama经纪人那里窃取了用户名和密码。

加密货币市场参与者了解：在解决安全问题之前，您不应该等待加密货币的大规模传播。更重要的是，如果交易所和钱包很容易破解，等大型机构投资者开始投资加密货币就没有意义了。

完整的安全系统始终涉及一系列措施。搜索代码中的错误，业务流程分析，员工培训-所有这些工具有助于最大程度地降低客户风险。考虑一下加密安全中的三个有趣趋势：审计，资金向冷存储的过渡和保险。

SOC2审核：双子座案

在2019年1月，双子座交易所对SOC2 Type 1进行了安全审核。此外，来自四大公司Deloitte＆Touche的公司担任审核员。根据Gemini的说法，审核历时8个月，再次确认Winklevoss兄弟的创意是世界上最安全的加密货币交易所。但是，SOC2的审核包括哪些内容？

服务组织控制2审计标准（SOC2）由美国注册会计师协会（AICPA）于2011年制定。审核的目的是确定服务提供商处理用户数据的安全性。这包括保护数据库免遭未经授权的访问，托管质量，个人数据处理策略等。

我们强调，到目前为止，只有双子座通过了第一种类型（类型1）的审核。它的价格从20,000美元开始，并且在传统业务中很普遍。

更高级别的审核-SOC2类型2-意味着在一定时期内（而不仅仅是在特定日期）进行安全控制。该程序的费用为30,000美元.Gemini承诺在2019年底之前通过此测试，但到目前为止还没有发生。

项目安全评估：专家意见

尽管SOC2审核非常有名，但是它涵盖了有限的业务流程-即客户数据的处理。此外，它不适用于区块链技术的细节。为了确保整个加密平台的安全性，需要高度专业化的解决方案。卡巴斯基实验室信息安全领域的一家大公司对区块链服务的安全性进行了这种评估。

它包括对Web界面代码和移动应用程序的深入分析，对智能合约各行的验证，渗透测试，帐户劫持和网络钓鱼的风险分析。

有些漏洞可能并不那么明显，只有进行详细的分析才能识别它们。 Coinomi钱包的情况是指示性的：2019年2月，由于在Chrome中输入密码时，浏览器通过googleapis.com共享服务器检查了密码的拼写，用户损失了7万美元。因此，尽管Coinomi并未确认密码，但密码被盗。

哪种验证类型更好选择-SOC2还是代码分析？介绍卡巴斯基实验室区块链安全负责人Pavel Pokrovsky：

“ SOC2包括对业务流程和技术解决方案的评估，以确保其符合明确的标准，在此特定国家/地区的法规要求发挥了作用。同时，SOC2不需要公司对应用程序安全性或渗透性测试进行一次性或定期分析。因此，提出在SOC2之间进行选择或评估应用程序安全性的问题是不正确的。安全评估或渗透测试既可以作为对SOC2审核的很好补充，又可以作为评估安全级别的独立工具。”

成功通过卡巴斯基实验室安全评估的最后一个项目是加密处理服务Cryptoprocessing.com，这是世界上第一个通过这种级别的验证的服务。

该公司的产品-支付网关和个人区块链钱包-包括对法定货币的扩展支持。据该公司首席执行官马克西姆·克鲁普谢夫（Maxim Krupyshev）称，这种服务并非奢侈，而是b2b提供商的必需品。另外，从事处理工作的银行要求提供服务安全性的证据。

过渡到冷藏

如您所知，加密货币钱包分为冷钱包和热钱包。两者之间的区别在于，热钱包安装在连接到Internet的设备上，而冷钱包没有安装。当钱包与网络断开连接时，黑客无法对其进行远程黑客攻击。

任何加密货币交换或加密处理都应将一定比例的资金存放在热钱包中，以确保正常取款。但是，构成攻击者最喜欢的目标的是热钱包。这就是Cryptopia，Binance，Coinbene，Bithumb，BITPoint和UpBit遭受的痛苦。在后者的情况下，盗窃发生在加密货币从热钱包转移到冷钱包的时候。

因此，加密货币公司寻求使热仓库中的加密货币份额最小化。例如，Cryptoprocessing.com将100％的客户资金存储在冷钱包中，仅将自己的业务储备留在热存储中以确保快速付款。重要的是要保持平衡，以免延误大规模撤军。这发生在2017年7月的Coinbase中，当时许多客户在比特币现金分叉的前夕开始提取比特币，而热钱包中的资金却用光了。

当然，冷钱包也不是没有风险的。因此，在2019年12月，IDAX交易所的首席执行官无故失踪-事实证明只有他才拥有冷藏库的钥匙。因此，IDAX用户无法使用他们的钱。

客户资金保险

任何审计都不能100％保证资金永远不会被盗。一方面，技术的飞速发展使黑客能够发明新的花样。另一方面，没有人可以取消人为因素：例如，最近的一次Upbit交易所黑客入侵可能是由一名员工组织的。

在这种情况下，大型参与者开始实施资金保险计划。即使发生盗窃，客户也不会遭受损失，因为保险公司将赔偿损失。当然，只有大公司才能负担得起这样的奢侈品：加密业务中的风险很高，并且为它们进行保险非常昂贵。

在那些已经为客户保证钱的人中，Coinbase领先。 2019年4月，该公司宣布为其热钱包中的资金投保了2.55亿美元，尽管客户的钱中只有2％存储在热钱包中，但它们最容易受到攻击。保险事件包括黑客攻击，盗窃和密钥丢失（包括由于员工的行为造成的）。

Coinbase的安全总监在他的博客中解释说，由于保险金额非常大，因此会通过著名经纪人Aon立即与众多领先的保险公司达成协议。

一些公司（例如BitGo）为冷钱包提供资金保险。但是，您需要了解，当钱包与网络断开连接时，冷库中的资金风险很高。当将加密货币从热钱包转移到冷钱包时会产生风险，反之亦然，但保险通常不涵盖这些情况。

结论：如何成为小公司

很少有创业公司能够负担得起SOC2审计或资金保险计划。是否有既有效又便宜的安全措施？

“有确保信息安全的开放方法，特别是SDLC（软件开发生命周期）安全开发标准。根据这些建议，小型项目可以自行选择适合其预算的工具，包括免费的开源解决方案，”-注意帕维尔·波克罗夫斯基（Pavel Pokrovsky）。

据他介绍，来自知名提供商的评估应用程序安全性的服务在小公司中非常受欢迎。

“对于初创企业来说，这样的安全评估的成本是可以承受的，因为小型项目的研究领域比大型公司的研究领域要少得多。另外，初创公司通常使用现代工具和语言来开发和组织基础结构，这也简化了提供服务的过程。”-在卡巴斯基实验室增加了一位专家。

加密安全系统正在朝多个方向同时发展，并且针对任何预算的解决方案已经在市场上。关键在于：项目必须意识到信息安全与营销或吸引投资同等重要。一旦资金保护成为金融科技初创企业的优先事项，加密货币行业将最终能够摆脱其可疑的声誉，并成为全球业务的成熟部分。

—-

原文链接：https://forklog.com/bitkoin-birzhi-i-trendy-kiberbezopasnosti-spasut-li-audity-i-strahovanie-vashi-dengi/

原文作者：lena

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。