General

Pertukaran Crypto Membutuhkan Pendekatan Keamanan yang Lebih Holistik

Gambar profil penulis

@reuben-jacksonReuben Jackson

Saya seorang spesialis keamanan blockchain dan penulis yang tinggal di NY.

Selama beberapa minggu terakhir, keamanan pertukaran cryptocurrency sekali lagi menjadi acara berita utama. Pada akhir September, KuCoin menyampaikan kabar tersebut bahwa itu mengalami insiden keamanan besar.

Pengungkapan awal oleh KuCoin hanya menyatakan bahwa dompet panasnya telah dilanggar, dan berbagai token telah diambil, termasuk token BTC dan ERC-20. Ini nanti muncul bahwa nilai complete dana yang diretas kemungkinan besar sekitar $ 280 juta, menjadikannya peretasan terbesar ketiga dalam sejarah kripto.

Pada pertengahan Oktober, OKEx meluncurkannya pengumuman sendiri bahwa ia menghentikan semua penarikan dari bursa karena salah satu pemegang kunci pribadinya bekerja sama dengan penyelidikan biro keamanan publik.

Pernyataan itu juga menegaskan bahwa pertukaran itu “tidak berhubungan” dengan individu yang bersangkutan. Laporan selanjutnya tampaknya mengkonfirmasi bahwa pihak yang hilang adalah pendiri OKEx, Mingxing “Star” Xu, yang berada dalam tahanan polisi China.

Beberapa minggu kemudian, dan penarikan OKEx tetap ditangguhkan. Spekulasi Sekarang tersebar luas bahwa Mingxing adalah pemilik tunggal kunci privat, sementara pengguna mulai menjual aset mereka dengan kerugian melalui stage OKEx P2P.

Baru-baru ini, pengguna dihantui oleh beberapa pergerakan dana yang aneh ke Huobi. Akun Twitter Siaga Paus ditandai arus masuk $ 204 juta dalam satu transaksi. Sekitar waktu yang sama, ada juga rumor bahwa pendiri Huobi berada dalam situasi yang sama dengan Star Xu, menyebabkan kekhawatiran bahwa pertukaran juga akan menghentikan penarikan.

Huobi nanti tweeted bahwa ia mengoperasikan sistem keamanan multi-tanda tangan di dompetnya, memberikan jaminan bagi pengguna yang khawatir.

Multisig – Minimum Bare

Sementara beberapa orang mungkin merasa terhibur dari jaminan Huobi bahwa dompet multi-tanda tangan menghilangkan risiko “satu titik kegagalan”, itu jauh dari kasus. Dompet multisignature, yang memerlukan lebih dari satu tanda tangan untuk setiap transaksi tertentu, adalah salah satu tindakan pengamanan yang dapat dilakukan bursa untuk meningkatkan keamanan.

Namun, ada banyak cara untuk menyiapkan dompet multisig.

Misalnya, Huobi menjelaskan bahwa ia memiliki 15 pemegang kunci, memastikan tidak ada satu titik kegagalan pun yang dapat terjadi. Tetapi katakanlah semua 15 pemegang kunci perlu menandatangani transaksi. Ketiadaan salah satu dari mereka berarti dompet bursa diblokir. Oleh karena itu, konfigurasi lebih penting daripada fakta hanya memiliki dompet multisig.

Meskipun multisig, ada banyak vektor serangan lain untuk pertukaran. Faktanya, pendiri Bybit Ben Zhou baru-baru ini terus merekam untuk menjelaskan bahwa, sebagai aplikasi internet terpusat, setiap pertukaran terpusat mewakili satu titik kegagalan, yang berarti bahwa pertukaran tersebut secara desain rentan.

Mungkin tantangan terbesar yang harus diatasi pertukaran adalah keseimbangan menyimpan dana di dompet panas vs dingin. Dompet panas atau online memungkinkan pertukaran untuk merespons dengan cepat permintaan pelanggan untuk penarikan, yang merupakan bagian penting dari layanan pelanggan yang baik di pasar yang kompetitif. Namun, karena mereka sedang online, dompet panas lebih rentan terhadap peretas, seperti yang ditunjukkan oleh insiden KuCoin baru-baru ini.

Zhou percaya bahwa keamanan adalah pertimbangan yang lebih penting dan dompet dingin adalah jawaban untuk memberikan jaminan keamanan yang lebih baik

Keamanan Pertukaran Harus Menjadi Upaya Holistik

Menurut Zhou, pertukarannya mengambil pendekatan keamanan yang lebih holistik, melindungi informasi di setiap titik interaksi. Ini melibatkan pengambilan pendekatan tanpa kepercayaan ke semua elemen arsitektur pertukaran. Bybit bekerja dengan perusahaan keamanan terkemuka eksternal untuk melakukan pengujian penetrasi reguler, yang mencari titik lemah di batas sistem inner dan eksternal bursa. Misalnya, prosedur pengujian penetrasi yang kuat mungkin melibatkan konsultan keamanan yang mensimulasikan serangan phishing pada email karyawan, bersama dengan upaya login akun secara brute-force.

Bybit juga menjalankan program bounty yang bertujuan untuk menarik peretas topi putih untuk mencoba melanggar keamanan pertukaran dengan imbalan hadiah.

Melampaui Pasar

Bybit adalah pendatang yang relatif baru di pasar berjangka cryptocurrency, yang telah meluncurkan platformnya pada awal 2018. Namun, bursa tersebut telah tumbuh secara signifikan menjadi pesaing utama dalam ruang turunan kripto yang berkembang selama waktu itu. Sekarang sedang diperdagangkan $ two miliar quantity per hari di pasar BTCUSD, bersaing dengan mudah dengan pesaing yang lebih mapan seperti BitMEX dan Huobi.

Meskipun akan sulit untuk menghubungkan pertumbuhan ini dengan praktik sadar keamanan Bybit saja, pendekatan perusahaan untuk melindungi dana dan information menggarisbawahi moto, yaitu”dengarkan, perhatikan, tingkatkan.” Selain keamanan, Bybit telah berinvestasi secara signifikan dalam teknologi pertukarannya, yang diklaim dapat menyamai 100. 000 transaksi each detik, menempatkannya di depan pesaing seperti BitMEX, yang telah kesengsaraan yang sedang berlangsung dengan host uptime selama lalu lintas padat.

Karena sifat keamanan siber kucing-dan-tikus, tidak realistis untuk mengharapkan bahwa pertukaran apa pun menghasilkan peluru perak ajaib yang “memecahkan” tantangan keamanan sekali dan untuk selamanya. Namun berdasarkan peristiwa baru-baru ini, terlihat jelas bahwa beberapa bursa berjalan lebih baik daripada yang lain. Ketika masalah keamanan mulai muncul di satu bursa, mereka yang memiliki reputasi kuat akan mendapatkan keuntungan saat pengguna mulai memberikan suara dengan kaki mereka.

Gambar profil penulis

Baca cerita saya

Saya seorang spesialis keamanan blockchain dan penulis yang tinggal di NY.

Tag

Bergabunglah dengan Hacker Noon

Buat akun gratis Anda untuk membuka pengalaman membaca kustom Anda.