如何保護加密貨幣免受Web威脅和DDoS攻擊_DDOS

編者按：本文來自頭等倉區塊鏈研究院，Odaily星球日報經授權轉載。截至2018年3月，流通中的加密貨幣達1000多種，總市值超過4000億美元，而一年前僅為190億美元。雖然加密貨幣的底層區塊鏈技術在大多數情況下是天生安全的，但隨著采用的迅速增加，了解加密貨幣易受攻擊的弱點，以及生態系統的不同參與者如何保護自己的投資變得非常緊迫。本文將幫助參與者理解加密貨幣的漏洞，提高安全性，包括：ICO發行人，投資者在其網站上發送他們的貨幣。通常持有和交易數百萬美元的資產的加密貨幣交易所的運營商。選擇交易所的加密貨幣所有者，保護他們的加密貨幣錢包。新興加密貨幣行業的弱點

以下是加密貨幣生命周期中安全面臨風險的一些關鍵階段：ICO發行人的網站可能會受到攻擊，從而干擾發行和之后對加密貨幣的支持。有一個案例，發行網站被黑客攻擊，更改了發送投資的地址，從而轉移了部分發行資產。ICOs網站一直受到DDoS攻擊，使其無法使用，并使ICO遭到了破壞。在任意時間點都持有數百萬美元的資產的加密貨幣交易所，實時交易大量資產。這些網站可能會被交易淹沒或被攻擊。在某些情況下，DDoS攻擊會導致交易所在一段時間內不可用。加密貨幣錢包：必須選擇一個交易所的加密貨幣的所有者，以及保護他們加密貨幣的錢包。黑客使用竊取的證書或釣魚攻擊的證書填充技術，竊取私人和在線錢包的資金。初始代幣發行

JAN3首席執行官受邀與墨西哥參議員就墨西哥如何采用加密貨幣進行討論:5月1日消息，據Bitcoin Magazine發推表示，JAN3首席執行官、比特幣中國前首席運營官Samson Mow于4月29日與墨西哥參議員兼財政委員會主席討論了關于墨西哥如何采用加密貨幣墨西哥如何采用加密貨幣的問題。

據悉，墨西哥是拉丁美洲最大的經濟體之一，如果成功采用加密貨幣，將為整個地區帶來深遠的影響，對于加密貨幣市場來說是一個重要的里程碑。[2023/5/1 14:36:45]

服務于加密貨幣的網站或移動應用程序就與普通網站一樣易受攻擊，對攻擊者來說，它們是一個個特別誘人的目標。ICO網站遭到攻擊，推遲發行，甚至被抽走了部分發行的加密貨幣。在一種情況下，攻擊者使用丑化攻擊將官方貢獻地址轉換為攻擊者的匿名地址。結果，Ether被重定向到錯誤地址幾分鐘。ICO也經常受到大容量網絡或應用層DDoS攻擊。由于交易量龐大，ICO網站需要采取以下措施來提供高水平的保護：身份驗證：通過要求強密碼和雙因子身份驗證，防止未經授權的訪問者進入。在失敗的登錄嘗試中，不要透露多于所需的信息，例如登錄的哪一部分是不正確的。更新軟件和操作系統：許多運行站點的軟件應用程序可能存在漏洞。保持所有軟件的最新版本和補丁，防止出現漏洞。驗證客戶端輸入和服務器上的所有輸入。防止惡意內容的注入，比如SQL注入和跨站點腳本。有關web漏洞的更多信息，請參閱OWASP前10。加密：整個網站使用HTTPS。限制對管理頁面的訪問：只允許選定的管理用戶訪問站點管理url。最重要的是，使用企業級web應用程序防火墻保護站點。WAF將防止所有web應用程序攻擊，并控制對站點和應用程序的訪問。貨幣交易所

韓國信用金融協會前官員金柱賢被任命為金融委員會委員長，將研究如何監管加密貨幣:金色財經報道，韓國信用金融協會前官員金柱賢被任命為尹錫烈政府的首任金融委員會委員長。他是金融服務委員會主席高升范的繼任者，擔任金融服務委員會主席的候選人金柱賢將承擔重大責任，例如新政府下的家庭貸款法規的合理化以及基于金融穩定對小企業的金融支持。他的任務還有如何監管仍處于法律盲區的虛擬資產（加密貨幣）的。

6月7日，韓國總統尹錫烈提名韓國信用金融協會前官員金柱賢為部長級金融委員會主席人選。[2022/6/7 4:08:00]

想要購買或交易加密貨幣的人有眾多交易所供他們挑選，交易所的安全措施和可用性是必需考慮因素，確保存儲的資產得到保護，潛在的交易不受交易所意外延遲的影響。這種延遲可由下列原因引起：DDoS攻擊，導致交易所在一段時間內無法進行交易。站點無法處理大量的干凈交易，例如數據庫超載或服務器資源超載，從而導致服務降級。據Incapsula網站最新發布的《全球DDoS威脅狀況報告》報道，使用其服務的加密貨幣網站位居最易受DDoS攻擊的十大行業之列。雖然Incapsula網站順利規避了這些攻擊，但也有一些關于加密貨幣交易所的破壞性攻擊的報道。過去幾個月，上面兩種情況都出現過，而且隨著對加密貨幣的需求不斷增長，這種情況可能會繼續下去。此外，交易所也是攻擊的一個關鍵目標，因為它們充當了錢包的角色，在任意時間點都可能存入價值數億美元的加密貨幣。因此，請選擇具有可用和安全記錄的交易所。API通常是加密貨幣交易所網站的弱點，因為它們的有效負載結構通常是專有的，這使得很難識別惡意速率或有效負載。因此，它們經常成為DDoS或其他攻擊的載體。要提供預期的服務級別，交易所必須考慮以下措施來降低服務降級的風險：提供足夠的帶寬以滿足需求。在一個需求迅速增長的市場中，增加帶寬可能是一個持續的挑戰。除了這個挑戰之外，不太可能減輕我們正在目睹的大規模DDoS攻擊。監控流量，檢測網站何時受到DDoS攻擊。識別和過濾流量，例如來自已知攻擊地址、已知機器人代理或已知的主要攻擊源的流量，檢測和阻止惡意用戶。保護帳戶承受攻擊，例如使用證書填充，提供如ICO網站所述的強大的網絡保護。識別和過濾來自單個源或用戶會話、已知應用程序簽名和不符合已知HTTP協議的流量的過多請求，檢測和阻止惡意應用層請求。保護你的API，因為檢查其有效負載的合法性比較困難。它們可能由于誤報而無效，或者相反，支持載體攻擊。由于難以有效地實現這些措施，交易所可以實現提供所需服務水平的服務，防止這些攻擊。貨幣錢包

聲音 | 韋氏評級：無論比特幣盈利能力如何 投資者都更傾向于存幣而非賣幣:韋氏評級今日稱，超過60%的比特幣一年多都存儲于錢包中而非在市場流通。在此期間，比特幣兌美元的價格從去年12月的3100美元上漲到僅6個月后2019年的13800美元高點。無論盈利能力如何，投資者都希望存幣而不是賣幣。[2019/12/3]

購買加密貨幣后，它會存儲在你的數字錢包里。這樣，你可以接收和發送你喜歡的加密貨幣。錢包存儲私鑰，私鑰表示對區塊鏈中一定數量貨幣的公鑰的所有權。由于不能重新創建私鑰，丟失密鑰就等于丟失了加密貨幣。如果有人獲取了密鑰，他就可以訪問加密貨幣。因此，錢包的安全存儲性能非常重要，錢包的選擇也很重要。就像你可以在不同的地方儲存現金，例如錢包或你的口袋，銀行或保險箱。以下是幾種存儲加密貨幣的錢包類型：軟件錢包：提供訪問加密貨幣的桌面或移動應用程序。由于只能從安裝錢包的設備訪問錢包，軟件錢包具有高水平的安全性。但是，如果設備出現了問題，你可能無法檢索自己的私鑰，從而丟失貨幣。在線錢包：在線錢包存儲在一個網站上，和其他存儲在云中的數據一樣，可以從任何設備訪問錢包。然而，這可能更容易受到攻擊，取決于第三方提供的安全性。資產被盜往往是證書填充的結果。從知名或不為人所知的網站竊取的用戶名和密碼在“暗網”上出售，通常是由僵尸網絡在登錄頁面上填充，直到用戶名/密碼組合生效。硬件錢包：指用于在本地存儲密鑰的專用物理設備，安全性最高。要使用這款錢包，用戶只需將硬件錢包插入一個可上網的設備，輸入錢包的pin，然后進行交易。我們建議采用以下步驟，保護你的加密貨幣：

動態 | 電腦安全軟件公司：揭示朝鮮黑客如何利用惡意軟件入侵加密貨幣交易:據BeinCrypto消息，電腦安全軟件公司Objective-See發布報告，揭示了加密貨幣交易被朝鮮一個新的惡意軟件入侵的細節。這種新的惡意軟件由朝鮮黑客組織Lazarus APT集團操作，以一種叫做“JTM交易軟件”的客戶端交易軟件為幌子，主要通過電子郵件分發給毫無戒心的受害者，在被安裝后竊取私鑰和訪問詳細信息。[2019/10/16]

在線小額：就像你通常不會在口袋里放幾千美元一樣，盡量減少你在電腦或移動設備中保存的加密貨幣數量。維持日常使用所需的金額，以便容易訪問資金，并在更安全的環境中保持余量資金。備份：無論你使用哪種類型的錢包，確保所有的備份都是安全的。請記住，如果你丟失了錢包私鑰，你就丟失了加密貨幣。在不同的安全位置對不同類型的設備進行多次備份，增加各種恢復路徑。加密：用你永遠不會忘記的密碼加密你的錢包。考慮在安全的地方保存一份密碼副本，比如保險庫。在你的環境中，采用額外安全層，例如登錄和交易進行雙因子身份驗證。防止惡意軟件和使用病防護保護環境。使用推薦的錢包：如果你使用的是在線錢包，要謹慎選擇一個在安全服務方面享有聲譽的錢包。考慮使用一個與你交易所集成的錢包。使用唯一密碼，不要在其他網站使用，否則可能會導致未報告的證書被盜。Incapsula保護

聲音 | 蟲哥：不管市場如何 兩個原因讓我對比特幣的信仰不會變:今天江西世星科技在江西撫州才都電子科技產業園舉行廠區開業典禮。原壹比特創始人、億算科技創始人蟲哥分享稱，半導體芯片在人才集中的大城市完成研發，然后在內地城市落地更劃算。而其目前關注兩塊業務。第一是從近閾值技術研發高算力低功耗制定芯片。第二，研發 POC容量證明這類新型的綠色環保節能 POW挖礦共識機制。2018年數字貨幣進入寒冬，但他依然擁有堅定信念，理由有兩個。其一，比特幣第一次用密碼學確保了個人數字資產不可侵犯。第二，比特幣基于去中心化、數量有限、不可偽造等特點，是極具流動性的、可抵御通貨膨脹的收藏品。[2019/1/11]

創建一種新貨幣和建立一個交易所是一項復雜的業務。Incapsula網站保護和DDoSmitigation可以保護你的網站免受最先進的網站攻擊、DDoS和帳戶接管攻擊。Incapsula可以為你提供額外的基于云的負載平衡和故障轉移或傳遞規則解決方案，使你的網站在操作方便的情況下最大化可用性。Web應用程序防火墻

Incapsula網站的網絡應用程序防火墻，連續四年被Gartner評為領先的WAF，它可以分析所有用戶對你的網絡應用程序的訪問，保護你的應用程序免受網絡攻擊，同時確保特定的技術，比如網絡sockets不會被破壞。它可以防止所有web應用程序攻擊，包括OWASP十大威脅，并阻止惡意程序。Incapsula還可以根據各種因素過濾流量，從而控制哪些訪問者可以訪問你的應用程序。WAF分析web應用程序的各個方面，檢測攻擊，例如防止依賴于跨站點腳本的站點損壞攻擊。有了這種保護，你的站點就可以避免惱人的驗證請求，如驗證碼、電子郵件確認或許多站點流行的雙因子身份驗證。DDoS保護

為了保護加密貨幣交易所和基礎網站，Incapsula網站的DDoS保護會自動檢測并減輕針對網站和網絡應用程序的攻擊。Incapsula網站是唯一提供SLA保證的網站，能在10秒內發現并阻止攻擊。我們新的Behemoth2平臺阻止了650Gbps的DDoS泛濫，流量超過150Mpps，還有剩余容量。我們預計，隨著攻擊規模的不斷擴大，容量會得到進一步的測試。除了處理大容量攻擊外，Incapsula網站還專門針對這些類型的DDoS攻擊提供保護。復雜應用程序，或第7層，攻擊web服務器上的應用程序。這些攻擊需要更小的容量才能生效，以每秒的數據包來衡量，但更難以檢測。ForresterWave報告說，Imperva在檢測和減輕應用層攻擊的能力上首屈一指。由大量請求組成的大規模攻擊，這些請求通過許多站點提供的API進行編排。API流量以最小的誤報進行過濾。檢查這些實踐來保護你的API。CDN服務

內容分發網絡有效地解決了加密貨幣交易所的指數增長問題，并擴建他們的業務規模。除了DDoS服務保護，IncapsulaCDN網站還提供了以下服務，幫助提高重載下加密貨幣交易所的穩定性。全球內容分發網絡以其智能緩存和高速存儲和優化工具，提高網站的速度和性能。Incapsula網站部署了40多個pop后，大大提高了頁面加載時間。Incapsula云負載均衡能讓交易所輕松擴展，增加服務器和故障轉移數據中心，并在不停機的情況下從云添加傳輸和轉發規則。使用定義規則功能，保護證書填充和帳戶接管，為登錄頁面提供額外保護，防止僵尸程序執行證書填充。規避了加密貨幣域中的主要帳戶接管威脅，黑客在該域中使用竊取的證書進行欺詐。對付暴力攻擊的傳統安全措施，阻止來自給定IP的/登錄頁面的高速率請求。然而，最近有一些攻擊繞過了這類過濾器，以極低的速度在受感染的計算機中發送數千個僵尸程序。即使是在低速率情況下，IncapsulaCDN也可以防止攻擊，因為它可以阻止或增加任何到達/登錄頁面的非人類訪問的難度，而不會減慢頁面加載速度。高級機器人分類和規避使用高級規則API保護，極低的誤報率，同時保持高水平的保護，包括針對API的DDoS攻擊有了這些服務，你就可以確保站點始終可用。結語

加密貨幣的種類和數量在不斷增加，針對加密貨幣發起的攻擊，在規模、復雜性和頻率上都在不斷增加。相關機構必須了解對專用的和高級的WAF和DDoS保護服務的需求，將財務、操作和聲譽風險降至最低。本文概述的最佳做法將幫助各機構建立健全的規避戰略。這些措施包括監控應用程序和網絡流量、檢測和過濾惡意用戶以及識別和阻止惡意請求。

Tags：加密貨幣DDOSDOSINC加密貨幣市場總市值數量級是多少DDOS幣Ludoscoincheck騙局

pepe最新價格