原文标题：《如何保护加密货币免受 Web 威胁和 DDoS 攻击》
撰文：头等仓

截至 2018 年 3 月，流通中的加密货币达 1000 多种，总市值超过 4000 亿美元，而一年前仅为 190 亿美元。虽然加密货币的底层区块链技术在大多数情况下是天生安全的，但随着采用的迅速增加，了解加密货币易受攻击的弱点，以及生态系统的不同参与者如何保护自己的投资变得非常紧迫。

本文将帮助参与者理解加密货币的漏洞，提高安全性，包括：

• ICO 发行人，投资者在其网站上发送他们的货币。
• 通常持有和交易数百万美元的资产的加密货币交易所的运营商。
• 选择交易所的加密货币所有者，保护他们的加密货币钱包。

新兴加密货币行业的弱点

以下是加密货币生命周期中安全面临风险的一些关键阶段：

• ICO 发行人的网站（ICO 的发行地和投资者的货币汇出地）可能会受到攻击，从而干扰发行和之后对加密货币的支持。有一个案例，发行网站被黑客攻击，更改了发送投资的地址，从而转移了部分发行资产。ICOs 网站一直受到 DDoS 攻击，使其无法使用，并使 ICO 遭到了破坏。
• 在任意时间点都持有数百万美元的资产的加密货币交易所，实时交易大量资产。这些网站可能会被交易淹没或被攻击。在某些情况下，DDoS 攻击会导致交易所在一段时间内不可用。
• 加密货币钱包：必须选择一个交易所的加密货币的所有者，以及保护他们加密货币的钱包。黑客使用窃取的证书或钓鱼攻击的证书填充技术，窃取私人和在线钱包的资金。

初始代币发行

服务于加密货币的网站或移动应用程序就与普通网站一样易受攻击，对攻击者来说，它们是一个个特别诱人的目标。ICO 网站遭到攻击，推迟发行，甚至被抽走了部分发行的加密货币。在一种情况下，攻击者使用丑化攻击（defacing attack）将官方贡献地址转换为攻击者的匿名地址。结果，Ether 被重定向到错误地址几分钟。

ICO 也经常受到大容量网络或应用层 DDoS 攻击。

由于交易量庞大，ICO 网站需要采取以下措施来提供高水平的保护：

• 身份验证：通过要求强密码和双因子身份验证，防止未经授权的访问者进入。在失败的登录尝试中，不要透露多于所需的信息，例如登录的哪一部分是不正确的。
• 更新软件和操作系统：许多运行站点的软件应用程序可能存在漏洞。保持所有软件的最新版本和补丁，防止出现漏洞。
• 验证客户端输入和服务器上的所有输入。防止恶意内容的注入，比如 SQL 注入和跨站点脚本。有关 web 漏洞的更多信息，请参阅 OWASP 前 10。 (责任编辑：admin)