本文原发于：CSDN

CSA GCR 区块链安全工作组交易所安全小组对于过去几年交易所发生的安全事件进行了分析，按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。

【原创作者】邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦（按拼音字母排序）【审核专家】陈大宏、赵勇

1 高级长期威胁（APT：Advanced Persistent Threat）

风险描述：高级长期威胁（英语：Advanced Persistent Threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞，并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会，再利用0 day 漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore（也被称呼为：Crypto-gang”，“Dangerous Password”, “Leery Turtle”大概成功盗取2亿美金）和 Lazarus（大概盗取5亿美金）。

2 分布式拒绝服务（DDOS）

风险描述：分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击（DoS）的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。

3 内鬼监守自盗（Insider Attack）

风险描述：交易所内部人员利用公司内部安全流程的漏洞，监守自盗；或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。

4 API 安全风险问题

风险描述：交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好，黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下： (责任编辑：admin)