Guía Completa de Seguridad un Exchange de Criptomonedas (con Lista de Verificación)

Analizando más de 60 intercambios populares de criptomonedas y 95 menos populares (según los datos de Alexa, ellos tienen menos de 10,000 usuarios diariamente), hemos identificado una lista de elementos para fortalecer la seguridad del intercambio de...

Analizando más de 60 intercambios populares de criptomonedas y 95 menos populares (según los datos de Alexa, ellos tienen menos de 10,000 usuarios diariamente), hemos identificado una lista de elementos para fortalecer la seguridad del intercambio de criptomonedas y por debajo encontrará una lista de verificación. A menudo, el CCSS no siempre es claro y es una industria difícil para desarrollar un exchange de criptomonedas completo, escalable, funcional y, sobre todo, seguro. Por lo tanto, decidimos escribir sobre los principales elementos de seguridad.

1. Protección DDoS; Suena extraño, pero aún todavía es uno de los métodos más comunes para atacar plataformas e intercambios de criptomonedas. La protección puede proceder a un bajo nivel del servidor, un servidor de seguridad o una capa en la plataforma. El AWS Shield más seguro junto con su infraestructura nos permite construir plataformas no solo escalables sino también seguras y bien ejecutadas.

2. Cross-Site Scripting (X-XSS-Protección).

3. No exponga la información del servidor. Muestre información de back-end sobre el servidor, el software y el sistema operativo solo si hay algunos problemas. Literalmente usted da luz verde a los hackers que revelan información secreta. Si se pregunta por qué, aquí hay un enlace rápido a la lista de vulnerabilidades de Apache. Sigue siendo el servidor web más común. En cada versión nueva, los desarrolladores corrigen errores y cierran los agujeros. Simplemente revisando la versión y comparando la lista de vulnerabilidades, se cava un hoyo.

4. NoSQL / SQLi. Vulnerabilidad clásica y la más fácil de ejecutar.

5. CSRF. La falsificación de consultas es bastante simple para neutralizar con el uso de tokens firmados. Además, esta es otra capa de protección contra XSS.

6. Ataque de clickjacking y opciones X-Frame.

7. HSTS (HTTP Strict-Transport-Security) y SSL. SSL es bastante bueno no solo porque muestra un bloqueo verde y da confianza a los usuarios. Por cierto, la hipótesis que Google aumentó la visibilidad en los resultados de búsqueda es falsa. Los métodos modernos de cifrado de base de datos requieren una conexión HTTPS a través de un certificado SSL. Autofirmados no funcionan de esta manera, solo emitidos por un departamento o empresa autorizado. Para el comercio electrónico o la integración de pagos SSL debe ser.

8. Bibliotecas vulnerables o maliciosas. Muy similar al párrafo anterior sobre la información del servidor.

9. Protección de la Política de Seguridad de Contenido (Content Security Policy - CSP). Al escribir su propio contenido exclusivo, nunca quiere ser robado y colocado bajo el nombre de otra persona. Desafortunadamente, ese problema es difícil de resolver, justo como crear ICO lucha contra las noticias falsas y el newsfeed limpio. La protección CSP es probablemente la única opción de redacción automática. Aprenda mas como crear un exchange de criptomonedas y Bitcoin.

10. Fijación de clave pública HTTP (HPKP).

11. Almacenamiento en frío; Probablemente sólo un inversor de criptomoneda novato no ha oído de almacenamiento en frío. Hay un par de tipos de monedero frío, pero el punto clave es un monedero offline. Por ejemplo, monedero de hardware como Trezor o Ledger, monedero USB, su propio nodo desplegado en una computadora aislada de Internet, o incluso un monedero de papel. El más protector generalmente se considera un monedero de hardware que tiene varias capas de protección que incluyen cifrado y multimoneda (Bitcoin, Ethereum y Litecoin, por ejemplo). Junto con la signatura múltiple, le permite reducir el riesgo de activos robados a través de dispositivos perdidos varias veces, hasta 0.01%.

12. Identificación del dispositivo. La misma no representa penetración, pero permite la prevención oportuna de acciones no autorizadas. La auditoría y los registros de todas las autorizaciones (satisfactorias y fallidas) deben necesariamente almacenarse y estar en acceso manual.

13. Manejo de errores. El manejo de errores debe ser desactivado para cualquier servidor en producción. Esta información es necesaria solo para desarrolladores, no para hackers.

2FA. Está en el interés del usuario activar la autenticación doble para crear una capa de protección adicional. Siempre es mejor pasar por la pereza y activarlo para proteger sus activos. Las aplicaciones como Google Authenticator requieren solo 1 minuto para configurarlas.

Como puede ver, la seguridad y la protección del intercambio de criptomonedas se encuentran en docenas de capas. Solo juntos proporcionan un alto nivel de protección. Y recuerde que en la mayoría de las plataformas, el punto débil no es la plataforma o el intercambio en sí, sino sus usuarios. La ingeniería social todavía no se ha cancelado, y los ciberdelincuentes la utilizan con éxito durante muchos años en todas las industrias relacionadas con el sector financiero.

¿Quieres construir el intercambio de criptomonedas? Háblanos de tu proyecto y obtener una cotización gratis.
Califíquelo (9 calificaciones, promedio 4.7 de 5)
¡Gracias!
1
(Deficiente)
2
(Malo)
3
(Promedio)
4
(Bueno)
5
(Increíble)


¡Gracias!
OK