54% криптовалютных биржи имеют проблемы с безопасностью, которые могут быть использованы хакерами

Новые исследования, проведенные ICORating, представили серию исследований в области безопасности высокопроизводительных криптобирж. Исследование показывает, что, хотя биржи по большому счету уделяют большое внимание безопасности, существует целый ряд серьезных лазеек, которые потенциально могут поставить под угрозу безопасность средств, хранящихся на этих платформах. За последние 8 лет по крайней мере 31 криптобиржа была взломана и украдено было более 1 миллиарда долларов. В то время как некоторые из них оправились от таких хаков, другие обанкротились или подверглись повторным атакам.

Ошибки консоли и безопасность учетной записи пользователя

При составлении отчета оценивались меры безопасности против потенциальных недостатков, которые могут повлиять на биржи и их пользователей. Было отобрано 100 бирж, чья ежедневная торговая стоимость составляет более одного миллиона долларов США, и были оценены четыре вопроса: ошибки консоли, безопасность учетной записи пользователя, безопасность регистратора и домена, а также безопасность веб-протоколов.

Полученные данные показали, что только 49 процентов бирж не имеют ошибок в консоли или предупреждения о консольных ошибках, которые, несмотря на отсутствие критических сбоев безопасности, как известно, вызывают потерю данных в прошлом. Биржи без ошибок кода составляли 68 процентов от общего числа, что означает, что 32 процента бирж имеют ошибки кода, что может привести к дефектной работе.

Анализ статистики безопасности учетных записей пользователей показал, что 41 процент бирж принимают пароли с менее чем восемью символами, 37 процентов бирж принимают пароли только с буквами или цифрами, 5 процентов бирж позволяют создавать учетные записи без проверки по электронной почте, у 3 процентов бирж нет двухфакторной аутентификации, и наиболее впечатляюще: всего, только 46 процентов бирж используют все четыре запроса безопасности.

Безопасность регистратора и домена и безопасность веб-протоколов

ICORating использовал проверку безопасности домена Cloudflare  для оценки бирж на ошибки, связанные с их регистратором и доменом. В частности, их блокировки реестра, блокировки регистраторов, учетные записи ролей, истечение срока действия и DNSSEC были признаками ошибок. Результаты оценки показали, что только 2 процента бирж используют блокировки реестра, только 10 процентов бирж используют DNSSEC, и только 4 процента бирж используют лучшие практики в 4 из 5 областей.

При оценке безопасности веб-протоколов оценивалось наличие следующих механизмов: Strict-Transport-Security,  X-XSS-Protection, Content Security Policy, Content-Security-Policy (CSP), X-frame-options и X-content-type.

Результаты показали, что только 10 процентов бирж имеют пять механизмов, 29 процентов бирж не имеют ни одного из упомянутых механизмов, и только 17 бирж имеют механизм политики безопасности контента.

ICOratings выдал окончательный рейтинг безопасности для всех оцениваемых бирж: Coinbase на первом месте, затем Kraken и BitMEX на втором и третьем соответственно. Несколько недель назад, крипто биржа  Zaif, занявшая 89-е место в рейтинге безопасности ICORating, подвергся нападению, что привело к потере около 6 000 Биткоинов.