CSA GCR：2022加密资产交易所安全指南（80页）.pdf

1、1序序 言言区块链做为一种颠覆性技术，能够帮助多个应用场景的业务创新并促进业务转型。区块链的去中心化和不可篡改的特性可以使交易双方安全可信地执行交易、验证交易和审计历史交易。在政务、金融、身份管理、医疗健康、智能家居和物联网、供应链和物流、汽车行业等多个细分领域中有很多新兴应用案例。同时，区块链技术也面临着诸多的安全挑战，与传统信息系统的安全架构相比，与加密资产交易所相关的系统架构、运作的边界、参与者和组件已重新定义，给用户，区块链服务提供机构及监管机构带来了全新的安全及监管的挑战。本指南对于加密资产交易相关的安全威胁、安全架构、最佳安全实践、应对相关威胁的控制措施提供了指导，可以很好的帮助加

2、密资产交易用户、服务提供机构及监管机构提升安全意识，了解相关威胁及防护措施。文章结构清晰，内容简洁，值得参阅。李雨航 Yale LiCSA 大中华区主席兼研究院院长3致致 谢谢本文档加密资产交易所安全指南(Crypto-Asset-Exchange-Security-Guidelines)由 CSA 区块链工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家（排名不分先后）：组长：高卓翻译组：李国马晓艳张钊审校组：黄连金郭鹏程姚凯刘洁感谢以下单位对本文档的支持与贡献：北京江南天安科技有限公司北京北森云计算股份有限公司英英文文版版本本编编写写专专家家主主要要作作者者

3、：Boulevard A. Aldetoyinbo, Esq.Ken HuangDave JevansAbdulwahab AL-Zuaby区区块块链链/DLT 工工作作组组领领导导成成员员：Bill IzzoAshish MehtaJyoti PonnapalliCSA 全全球球人人员员：Hillary BaronFrank GuancoKurt SeifriedAnnMarie Ulskey在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正!联系邮箱：researchc-； 云安全联盟CSA公众号。4目目录录序 言.3致 谢.41. 加密资产交易所威胁建模.61

4、.1 交易所威胁模型.62. 加密资产交易所安全参考架构.73. 加密资产交易所最佳安全实践.123.1 交易所用户视角的最佳安全实践.123.2 交易所运营商视角的最佳安全实践.173.3 审计者视角的最佳安全实践.284. 加密资产交易所行政管理和物理安全.324.1 行政管理控制.334.2 加密资产交易所运行的法律方面.404.3 交易所投保：对内和对外.434.4 交易所安全事件联盟.494.5 风险管理流程.504.6 指定的安全责任.524.7 策略和规程.564.8 信息访问管理.614.9 安全意识和培训.634.10 安全事件管理规程.644.11 应急预案.674.12

5、评估.684.13 物理控制措施.6951. 加加密密资资产产交交易易所所威威胁胁建建模模针 对 重 点 攻 击 加 密 币 资 产 的 威 胁 的 建 模 框 架 （ ABC, Asset-BasedCryptocurrency-focused threat modeling framework）能够识别这类风险。ABC 的一大关键创新是使用了共谋矩阵（collusion matrices）。共谋矩阵用一个威胁模型覆盖大量威胁案例，同时对整个流程实施管理以防止它变得过于复杂。我们通过展示现实世界用例和开展用户研究证明 ABC 是行之有效的。 用户研究表明， 约有 71%使用 ABC 的人能够

6、识别金融安全威胁，而在使用流行框架 STRIDE 的参与者中，只有 13%的人能够做到这一点。本文的完整 PDF 全文可以从 http:/arxiv.org/pdf/1903.03422.pdf 下载。这个模型可用于分析针对加密币本身的攻击以及分析针对通过智能合约控制交易的去集中化（分散式）交易所（DEX）的攻击。不过，若要对针对托管钱包（如基于云的交换、场外交易平台、加密币交换服务等）的攻击建模，或许还需要用一种聚焦点更突出的方法。下面，我们将列出针对交易所的十大威胁。1.1 交交易易所所威威胁胁模模型型我们见过的针对交易所的攻击可分为以下几类：1.用户凭证钓鱼，旨在访问加密币账户并转移资金