慢雾科技在推动区块链世界的安全联防及对抗日趋严峻的地下黑客攻击工作上做了许多沉淀,本篇安全监测报告,慢雾科技的区块链威胁情报系统(BTI)提供了相关素材支撑,慢雾科技将从币团(Bituan)这个专业的数字货币交易所为安全监测对象,简析下慢雾科技的评估结论。
币团安全监测分析
慢雾科技于 2019 年 7 月和币团开始正式对接安全,持续到现在,慢雾科技针对币团做了许多安全监测的工作,在这,我们正式做些必要的披露以客观看待币团当下的安全体系能力。
据慢雾科技的近期安全监测显示,币团的业务基线安全、生产网安全、服务器安全、应用安全、私钥安全、办公网安全等重要安全项目当前处于优质状态,同时币团的风控体系完善,配备多项措施保障用户资产安全。慢雾科技对币团当前的安全体系建设工作整体评估为:优秀。
业务基线安全
1、Web 应用防火墙(WAF)策略
结论:优秀
描述:币团关键业务相关的域名及 IP 都做了全面的 WAF 策略,这个策略可以很好抵御来自外部针对 Web 服务的直接攻击,这对于用户来说,通过 Web 及 App 访问币团的服务是安全的。
2、DDoS/CC 防御策略
结论:优秀
描述:币团接入了知名云安全厂商知道创宇的 DDoS/CC 防护产品,能够很好抵御针对服务器的 DDoS/CC 攻击,这对于用户来说,通过 Web 及 App 访问币团的服务是安全且稳定的。
3、注册安全策略
结论:优秀
描述:币团关键业务系统的注册模块,都使用了 Google reCAPTCHA 进行人机识别,并且密码复杂度要求严格,这个策略可以很好抵御外部的机器人注册,提升用户密码安全等级,保障平台用户的资产安全。
4、登录安全策略
结论:优秀
描述:币团关键业务系统的登录模块,都使用了 Google reCAPTCHA 进行人机识别,同时需要进行 2FA 验证,能够有效降低用户被“撞库”风险,保障平台用户的资产安全。
5、数据传输安全策略
结论:优秀
描述:通过相关安全工具及人工的审计,币团全站均部署了 HTTPS,可以防止潜在的中间人劫持攻击风险,用户在币团上做的关键敏感操作所传输的数据做了额外一层安全加密保护。
6、2FA 安全策略
结论:优秀
描述:2FA 指双因素认证,这个策略是安全策略里的最佳安全实践,币团针对用户的敏感操作尤其涉及到资金的操作都做了全面完备的 2FA 策略,可以大大降低用户被盗号攻击、撞库攻击导致的风险。
7、会话安全策略
结论:优秀
描述:用户会话 Token 具有时效性,且严格遵守 OWASP 安全规范实现。
8、交易所 API 安全策略
结论:通过
描述:API 的创建、修改、删除均需要 2FA 验证,可有效保障用户资产安全。
9、充值安全策略
结论:优秀
描述:各币种充值确认数均符合安全要求,并与慢雾区块链威胁情报(BTI)系统联动,出现突发事件时可及时调整确认数。币团充值环节接入了慢雾 AML 系统,可有效阻断涉及钓鱼、勒索、盗币等恶意行为的资产进入平台。
10、提币安全策略
结论:优秀
描述:币团提币环节部署了严格的风控策略,异常提币由人工审核,且接入了慢雾 AML 系统,可有效防止用户遭受钓鱼、勒索等攻击,保障用户资产安全。
11、交易安全策略
结论:优秀
描述:币团交易模块部署了严格的风控策略,对可能存在风险的交易环境(非常用设备、IP)需验证资金密码。对于高风险用户在提现时需通过短信、邮箱、2FA 等多重安全验证,有效保障了用户资产安全。
12、安全教育
结论:通过
描述:数字货币领域对许多新人来说是个陌生的领域,新人是被攻击的高危人群,在首次使用币团的服务时有安全教育机制,对用户来说是种很好的安全引导。
13、防钓鱼策略
结论:通过
描述:币团关键业务系统的登录模块,都设置了防钓鱼提醒,这个策略可以有效降低用户被钓鱼风险。
14、上币安全策略
结论:通过
描述:币团上币流程包含安全审计环节,ERC20 代币会由团队内部多人交叉审核合约代码是否有漏洞,同时项目方可提交币团认可的第三方安全审计机构(如:慢雾)出具的安全审计报告。
15、KYC 安全策略
结论:通过
描述:已设置二要素、三要素、四要素的检测,正在接入五要素(人脸识别)的检测。
16、AML 安全策略
结论:优秀
描述:币团充提币环节接入了慢雾 AML 系统,可有效阻断涉及钓鱼、勒索、盗币等恶意行为的资产进入平台,阻断洗币行为,规避政策风险。
17、是否有第三方安全审计报告
结论:通过
描述:币团此前通过了慢雾科技的安全审计,币团当下安全体系建设工作进展顺利。
生产网安全
1、DNS 安全
结论:优秀
描述:使用业界知名的 AWS 平台管理 DNS,且启用了 AWS 平台的登录 2FA 策略。
2、云服务安全
结论:优秀
描述:所有实例不对外公开任何端口,对外服务只开放 AWS 负载均衡 ELB 上对应的 80、443 端口,并且 80 端口(HTTP)流量强制跳转 443(HTTPS)。AWS 上安全组针对不同服务放行特定端口的内网连接,其他端口默认屏蔽。云服务器登录全部通过跳板机,且全部用 SSH 密钥登录。
3、权限安全
结论:优秀
描述:云平台针对不同业务需要,开通不同的子账户权限;内部后台依据职能划分不同权限。
服务器安全
1、基础配置安全
结论:通过
描述:系统服务最少化,内核参数最优化,减少不必要服务运行。
2、升级与补丁策略
结论:通过
描述:定时更新最新的组件和内核。
3、第三方模块安全
结论:通过
描述:及时更新最新的模块。
4、应用服务安全
结论:通过
描述:最少权限运行应用服务。
5、API 服务安全
结论:通过
描述:Nginx 过滤非法路径请求,所有应用服务之间数据传输进行验签。
6、数据库服务安全
结论:通过
描述:只允许需要连接的实例连接数据库,应用程序只用读写账号。
7、缓存服务安全
结论:通过
描述:只允许需要连接的实例连接缓存服务。
8、私钥管理服务安全
结论:通过
描述:使用 AWS KMS 服务。
9、节点服务安全
结论:优秀
描述:节点服务器只对内网固定 IP 访问,节点全部使用官方网站下载程序进行数据同步,并及时检查相关节点是否有更新,防止节点版本有 Bug。节点服务器由统一跳板机登录,其他方式不能登录,外网端口全部关闭。
应用安全
1、Web 安全
结论:通过
描述:币团关键业务 Web 系统均遵照 OWASP ASVS 标准、OWASP TOP 10 规范来实现,未发现问题。
2、App 安全
结论:通过
描述:币团 App 均遵照 OWASP MASVS 标准来实现,未发现问题。
3、API 安全
结论:通过
描述:币团关键业务 API 均遵照 OWASP ASVS 标准、OWASP TOP 10 规范来实现,未发现问题。
私钥安全
1、热钱包安全
结论:通过
描述:私钥由代码批量离线生成,并进行分段加密保存,使用的时候只允许特定业务服务器访问,严格限制访问权限,使用之后及时清理内存。
2、冷钱包安全
结论:通过
描述:使用知名硬件钱包进行多签管理。
办公网安全
1、办公网络安全
结论:优秀
描述:网络层用深信服上网行为,所有设备绑定 MAC 地址才允许接入网络,开启了所有的防御策略。Wi-Fi 分内部使用和访客模式,网段隔离,访客模式无法访问内部服务和内部任何一台主机,保护研发、测试环境的独立。
2、办公终端安全
结论:通过
描述:技术人员和使用内部后台的人员,一律使用 Mac 系统。访问服务器和内部后台,只能通过跳板机访问,跳板机装有异常检测程序,发现异常操作立刻会被切断访问。其余人员使用的 Windows 10 系统均为正版,所有办公终端均安装 BitDefender 杀毒软件。
关于安全监测报告
慢雾科技力求以最客观最职业的第三方安全机构视角,在获得币团授权情况下,针对币团目标业务进行全面的安全体系建设工作的持续安全监测并辅以场内确认,最终根据双方意愿客观披露阶段性的安全监测结果。
关于慢雾科技(SlowMist)
厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实战的团队创建,团队成员曾打造了拥有世界级影响力的安全工程。作为中国最早专注且全球领先的区块链生态安全公司,慢雾科技已经为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。慢雾科技的安全解决方案包括:安全审计、安全顾问、防御部署、威胁情报(BTI)、漏洞赏金等服务并配套相关安全产品。在行业内曾独立发现并公布多起通用高风险的安全漏洞,得到业界的广泛关注与认可。除了研究全球知名公链如比特币、门罗币、以太坊、EOS、Cosmos、本体、唯链等,慢雾科技还特别深耕以太坊和 EOS 生态,围绕 DApp 安全攻防对抗,安全审计与防御的知名智能合约数百份。给区块链生态带来安全感是慢雾科技努力的方向。
相关回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
