原标题：【台湾资安大会直击】HITCON创办人徐千洋：一封钓鱼信偷走日本交易所百亿营收，如何挑选安全的加密货币交易所，靠这9项原则

HITCON创办人徐千洋提醒，成立交易所后将面临的资安风险，并分享加密货币交易所的安全性评估。

iThome

“加密货币火红，但成立加密货币交易所，更是近年许多IT人员所热烈讨论的议题。”台湾骇客年会（HITCON）创办人徐千洋15日在台湾资安大会揭露了，加密货币交易所面临的资安风险，更分享如何正确评估加密货币交易所安全性的9项秘诀，他提醒，得好好评估，以免在投资时上当受骗，就像把钱丢到水里。

徐千洋首先比较3种常见的加密货币交易所类型，第一种是可用法币购买加密货币、加密货币兑换成法币的“法币交易所”。由于法币交易所牵扯到国家货币议题，容易面临法律遵循与监管的问题，这类法币交易所设立门槛高，所以，也出现了“币币交易所”，仅锁定提供加密货币的交易，与既有法令较不冲突。另外还有一种“场外交易所”，这是当有两位用户想要交换货币，又不想通过交易所的场内机制，私下协议后可通过第三方加密货币交易所进行交易，网站的作用是代为保管与支付加密货币。

徐千洋指出，不少交易所被骇客盯上，传统网站会碰上的安全问题，在交易所依然逃不过。OWASP（The△Open△Web△Application△Security△Project）2017年归纳出的十大网络资安风险，包括注入攻击、无效身份认证、敏感资料外泄、XML外部处理器漏洞、无效的存取控管、不安全的组态设定、跨站攻击、不安全的反序列化漏洞、使用已有漏洞的元件、纪录与监控不足风险，也都是交易所要面临的威胁。

不过，他指出，DDoS（分散式阻断服务）攻击更是交易所最害怕的威胁。DDOS攻击者会先测试能否影响交易所，若测试成功，则会发信勒索，恐吓不付勒索金则将瘫痪交易所。另外，钓鱼邮件的威胁也不可小觑，徐千洋提醒，日本知名加密货币交易所Coincheck今年1月底，就是因为内部员工打开了骇客寄来的钓鱼邮件，才让骇客入侵窃取了价值新台币154亿元的加密货币；另外，若内部网站设计架构有问题，再加上客服人员缺乏相关训练，都容易遭骇客诱骗而上当，所以，“强化客服人员的资安意识也是非常重要的环节。”他提醒。

徐千洋强调，成立加密货币交易所，不只是建立网站加上钱包系统就足够，更困难的是要面对更多资安问题，首先是要考虑能不能因应DDoS攻击，以及机房能不能负荷网站爆量流量。他建议，可将网站、钱包系统通通放上云端，不过，云端也不是万灵丹，仍有其风险，交易所业者需评估自身的产业环境适不适合。另外，业者也可以分散风险，网站系统放上云端，但钱包系统则留在机房，以利就近监控管理。

对一般有意投资的民众而言，如何挑选加密货币交易所？徐千洋直言，不要上当、不要贪，别一昧为了获利而失去判断，要先看清楚再投资，否则等于把钱丢进水底。

徐千洋也提供了9项加密货币交易所安全评估建议，可作为投资人挑选时的参考。

1.先确定交易所是一家合法公司，公司登记所在地最好是开放交易所申请的国家，例如日本、新加坡。

2.可参考所有交易所当日交易量排名，前20者为佳，名次越前面，可信赖度越高。

3.联系交易所客服，以客服的反应来了解公司状况，若不积极或是联络不上都要小心。

4.通过LinkedIn等类似网站，搜寻公司的经营团队，或是有无招聘资安工程师的讯息，都可从中判别是否为空壳公司。

5.搜寻新闻，确认交易所是否遭骇，若被骇过1次，其信赖度是可以加分。因为交易所资安出过问题，才会投入更多预算，但若出现2次以上的资安问题，反而要小心。

6.是否有落实KYC（Know△your△customer）身份认证，若需要上传照片、护照、身份证，甚至是要求开网络摄影机（Webcam）拍下近照，其信赖分数都会更高。

7.是否支援双因素身份验证（Two-Factor△Authentication），若在登入、提币、开启API时都采用此验证就能更加信赖。

8.有无参与或提供漏洞悬赏（Bug△bounty）计划，意思就是开放全球骇客找漏洞，以利漏洞能够及时修补。此举真正的意义是，这个交易所有专责资安人员，所以，对其信任感可再加分。

9.确认交易所是否有用CDN（Content△Delivery△Network）服务或将资料放上云端，若有，服务稳定度会更高，投资人还可通过urlscan.io扫描服务来了解交易所网站做了哪些事情，例如确认是否暗中挖矿等等。

最后，徐千洋提到，许多的加密货币钱包、交易所都有资安需求，也知道台湾工程师的品质很好，所以都会选择来台湾开交易所，但不见得是要来做生意，而是积极在台找人才。而剑桥大学在一分2017年加密货币交易所的研究报告指出，所有交易所的员工有13%是资安人员，有17%的预算投入资安，显现加密货币交易所对资安的重视。

tags：

上一篇  下一篇

相关：

台湾电价将调涨 [热事件]

使用电是我们生活中不可缺少的，所有的家用电器都离不开电的，但是不同地方的电价收费是不同的，近日台湾电价将调涨了，那么台湾电费多少钱一度呢？台湾电价上涨了吗据了解台湾地区电价即将于4月调涨3%，让民众不免担

日本执政党正式公布 [生活]

（日本执政党正式公布）“针对中国将出云号改为航母！”2018年3月20日，日本执政党正式公布这一重磅消息，引起广泛关注。在本月20日举行的“安全保障调查会”上，日本自民党总结了更改《防卫计划大纲》的要点。自民党

日本发错养老金：日媒将130万人养老金发放错误黑锅甩给中企 [生活]

（日本发错养老金）据了解，日本养老金管理机构管理着全球最大规模的养老金，因而有关养老金安全的消息时刻牵动日本民众神经，“养老金发放错误”一经公布即成为各大日本媒体的头条新闻。日本多家媒体20日报道说，今

日本执政联盟同意佐川宣寿下周二到国会作证

日本执政联盟的自民党干事长二阶俊博，与公明党干事长井上义久开会协调，同意下星期二传召窜改森友学园批地文件的关键人物、前国税厅长官佐川宣寿，到国会作证，接受议员质询，但拒绝传唤首相安倍晋三夫人安倍昭惠。

日本东京进入樱花季 [生活]

日本东京进入樱花季日本东京进入樱花季，东京目黑川备受瞩目游人徜徉花海。樱花季是日本最繁忙的旅行季节。近日，日本东京中心地区的樱花盛开。日本气象厅进行观测后宣布，东京正式进入樱花季。这次樱花季比去年早了