数字资产交易平台开发常见的安全问题及解决方案

数字资产是数字经济中重要的组成部分，但针对数字资产交易平台展开的频繁网络攻击不断冲击着用户对于数字资产的信任。就在最近的几个月里，人们目睹了数起针对交易平台的攻击。例如日本的数字资产 交易平台Coincheck于2018年1月被入侵，损失超过5亿美元。韩国交易平台Coinrail也证实它在2018年6月被黑客攻击，入侵损失达3,690万美元。

目前看来，数字资产交易平台主要有六类常见隐患和漏洞，即拒绝服务攻击、网络钓鱼事件，热钱包防护问题，内部攻击，软件漏洞，和交易可锻性。

1.常见问题

拒绝服务攻击 ：攻击者通过拒绝服务攻击使得交易平台无法正常访问，也是目前最主要的针对交易平台的攻击方式。用户因为无法准确分辨攻击程度，往往会造成恐慌性的资产转移，从而给交易平台带来损失。

网络钓鱼事件 ：目前即使是最好的技术措施也无法保护数字资产交易平台免受网络钓鱼攻击。 欺诈者往往通过虚假域名或者仿冒页面的方式迷惑受害者，受害者如无法分辨交易平台的真实性便会遭受资产上的损失。

热钱包防护问题 ：许多交易平台使用单个私钥来保护热钱包，如果犯罪分子可以访问单个私钥，他们将能够破解与私钥相关的热钱包。 私钥攻击的典型例子是2017年首尔交易所Yapizon的攻击，攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取，总共造成了交易平台近50%的资产损失，并最终导致了交易平台的破产。

内部攻击 ：由于没有完善的风险隔离措施或对于员工权限监督不力，导致了部分拥有平台操作权限的员工利用内部信任监守自盗。例如2016年交易平台ShapeShift发生的员工盗取BTC事件，其通过私下盗取和将敏感信息转卖给其余人员的方式前后给交易平台造成了23万美元的损失。

软件漏洞 ：包括单点登陆漏洞、oAuth协议漏洞等。各国都有法律要求银行或其他金融机构实施信息安全措施，以保护客户的存款。但是，由于区块链领域还处于起步阶段，目前缺少适用于数字资产的此类规范。 因此，许多交易平台在缺乏安全规范约束的条件下，存在大量漏洞并非偶然。

交易可锻性 ：区块链技术的支持者常常认为区块链交易是高度安全的，因为它们被记录在据称不可更改的记录上。 但是每个交易都需要有相应签名，而在交易最终确认之前，记录是可以被暂时伪造的。  “Mt.Gox事件“是数字资产历史上最大的攻击之一，共造成了4.73亿美元的损失，而这次攻击事件便是由黑客在初始交易发布之前向公共帐本提交代码更改进行的。

2.解决方案与建议

在技术开发方面持续的投入，抵御日益增长的黑客攻击，切实的增强系统的安全性。

确保员工保护安装在专业工作计算机或个人计算机上软件应用程序相关的登录凭据，并完善安全培训，提高安全意识。

定期的安全测试，建立完善的应急相应机制。

网络安全隔离，谨慎进行服务端口开放。

选择具备完善防护的能力的数字资产交易平台开发服务供应商，就像源中瑞这样的。

行业需要统一的治理机制，引入第三方监管与合作，在出现问题时及时与外部协同工作。