多年來，黑客已經(jīng)從多個交易所盜走了價值數(shù)百萬美元的數(shù)字貨幣。數(shù)字貨幣市場吸引了大量的人才。投資者和其他人都希望獲得最高回報，并且不會被任何人影響。

一旦您的數(shù)字貨幣被盜，您將無法獲得退款，交易和資產(chǎn)也得不到任何保護，這使得投資數(shù)字貨幣真的很危險。大量的數(shù)字貨幣交易涵蓋了大量的數(shù)字現(xiàn)金。這些事實因素對黑客很有吸引力。

在過去的8年里，大約有31個數(shù)字貨幣交易所被黑客攻擊，而且有的交易所被盜多次。有超過10億美元的數(shù)字貨幣（實際上是13億美元）被盜了。一些數(shù)字貨幣交易所從中學習到了經(jīng)驗，并設(shè)法恢復挽回損失，其他大多數(shù)被盜的交易所都破產(chǎn)了。像Mt.Gox，Bitcoinica，PicoStocks，Bitcurex，甚至遭到黑客的多次攻擊。

今天，超過200個數(shù)字貨幣交易所向客戶提供他們的服務，這個數(shù)字是不斷的變化的。因此，一個交易所的數(shù)字貨幣下跌或遭到黑客攻擊不會導致交易量下降。市場，就像以前一樣，許多國家也開始這樣做了，引入數(shù)字貨幣交易所的監(jiān)管要求，但仍然不是所有得投資者都能受到充分的保護從而失去他們的資產(chǎn)。因此，我們應該吸取經(jīng)驗，投資可靠的資產(chǎn)，多樣化您的組合并選擇好的數(shù)字貨幣交易所。

在準備此安全評級時，我們已經(jīng)評估了安全措施，以下可能對交易所及其用戶產(chǎn)生負面影響的潛在漏洞。

該報告將詳細討論以下問題：

? 控制臺錯誤

? 用戶帳戶安全

? 注冊商和域名安全

? Web協(xié)議安全性

我們選擇日交易額超過100萬美元的交易所; 名單上的交易所有100家。

控制臺錯誤

代碼中的這些錯誤可能導致某些系統(tǒng)出現(xiàn)故障，從而導致系統(tǒng)崩潰給用戶帶來問題。然而，這種類型的漏洞通常并不重要，更需要考慮的是，這些漏洞給用戶帶來的損失。

? 對此類漏洞既沒有安全措施也沒有警告用戶的交易所：49％

? 交易所沒有漏洞：68％

結(jié)論：32％的交易所存在代碼錯誤，會導致用戶出現(xiàn)某些操作缺陷。

用戶帳戶安全

已在每個交易所創(chuàng)建單獨的帳戶。以下參數(shù)評估：

1、創(chuàng)建少于8個符號的密碼的可能性

2、單獨使用數(shù)字或字母創(chuàng)建密碼的可能性

3、帳戶創(chuàng)建后立即進行電子郵件驗證

4、2FA的存在與否

評估結(jié)果如下：

? 41％的交易所允許少于8個符號的密碼

? 37％的交易所允許使用數(shù)字或字母密碼

? 5％的交易所允許創(chuàng)建帳戶而無需電子郵件驗證

? 3％的交易所缺乏2FA

? 只有46％的交易所滿足所有四個參數(shù)

注冊商和域名安全

我們使用了cloudflare平臺（？https：//www.cloudflare.com/domain-security-check？），檢查這些交易所是否存在與其注冊商和域名相關(guān)的漏洞：

1、注冊表鎖？;注冊表鎖定是注冊表中的一個特殊標志（不是注冊表），它阻止任何人在沒有與注冊表進行帶外通信的情況下對您的域進行更改。

2、注冊商鎖；注冊商鎖定（不要與注冊表鎖混淆）可以防止這種情況發(fā)生通過要求更改auth代碼而不僅僅需要域名劫持全球登記處的信息。

3、角色賬戶；注重安全的組織避免泄露這種私人使用角色帳戶注冊其域名的信息。角色帳戶保護組織中的個人不被攻擊者作為目標。

4、期限；我們建議至少有6個月的有效期限。這為處理不可預見的復雜問題留下足夠余地，例如擁有該域名的員工離開公司（同樣，這是一個使用角色賬戶很好的理由）。

5、DNSSEC;DNSSEC通過使用加密簽名驗證所有DNS查詢來消除DNS緩存中毒的威脅。 DNS服務器將拒絕未經(jīng)身份驗證的響應，而不是盲目緩存DNS記錄。

每個項目有三種可能的結(jié)果：上面的所有項目都正確運行（1），無正常運行（0），警告（0.5）。評估結(jié)果如下：

? 只有2％的交易所使用注冊表鎖定

? 只有10％的交易所使用DNSSEC

? 沒有交易所有五個問題都涉及到

? 只有4％的交易所在這5個領(lǐng)域中使用到了4個

Web協(xié)議安全性

我們已經(jīng)檢查了接受審查的交易所是否具有能確保防范各種攻擊的標頭。我們使用了以下資源：https://www.htbridge.com/websec/根據(jù)交易所是否具有該協(xié)議，它的評分是1或0。我們檢查了以下標頭

如下：

1、嚴格傳輸安全標頭（http -嚴格傳輸安全（HSTS）標頭強制瀏覽器以HTTPS瀏覽網(wǎng)站）。

2、x - xss保護頭（x - xss保護定義了瀏覽器應該如何執(zhí)行跨站點腳本保護）

3、內(nèi)容安全策略頭（Content-Security-Policy， CSP）支持為每種類型的內(nèi)容定義允許的源，幫助抵御XSS攻擊。

它還允許定義一些瀏覽器行為，例如沙箱強制，以發(fā)送到HTTP引用頭中的值。

4、X-frame-options標頭（X-frame-options標頭指定是否為網(wǎng)站應該允許自己被框起，并從哪個起源。阻止框架有助于抵御點擊劫持等攻擊。）

5。X-content-type-options標頭（X-content-type-options可以引導瀏覽器禁用嗅探頁面內(nèi)容類型的功能，并且只使用指令本身中定義的內(nèi)容類型。這提供了對XSS或免下車下載的保護攻擊。）

評估結(jié)果如下：

? 只有10％的交易所擁有全部五個標頭

? 29％的交易所沒有上述標頭

? 只有17個交易所具有內(nèi)容安全策略標頭

一般交易所安全評分

根據(jù)上述類別分析了所選擇的交易所使用以下評分系統(tǒng)：

? 控制臺錯誤：每個類別最多5個點，分析2個參數(shù)

? 用戶帳戶安全：最多18個點，分析4個參數(shù)

? 注冊商和域名安全：最多34個點，分析5個參數(shù)

? Web協(xié)議安全性：最多43個點，分析5個參數(shù)

總計以上最高得分為100分