*3000key红包*【跟着勇哥柒学知识18】又有336枚比特币被盗，你还有把币一直放在交易所的习惯-行情分析-币链屋

英国数字货币交易所Cashaa被黑客窃取了超过336个比特币。目前交易所已经停止了所有的交易，并且召开董事会进行讨论这部分损失由谁承担，初步推断他们怀疑这个黑客来自于印度东德里，并且已经向东德里调查局提交了网络犯罪事件报告。

这次黑客的手段可能是把恶意软件安装到用于进行交易转账的计算机上。

黑客在盗币后就会像昨天文章介绍的一样使用混币器对那些比特币进行混币处理，目前各方都在积极配合监控那个地址想要阻止黑客将这些比特币在其他交易所中变现，印度所有的主要交易所和像币安这样的国际交易所都给予了支持。

但即使这样这些被盗的代币能否被追回还是个未知数。

交易所作为一个金融交易的场所，虽然每个交易所都致力于让交易所更加安全，但实际上想做到交易所安全还是任重道远，其实交易所代币被盗只是交易所不安全的一个明显的表现，而交易所实际上面临着各种各样的危机，有着自身内部系统的安全问题，有着不同客户端安全的问题，有着用户使用安全的问题，数字货币交易所的不安全可能也会成为阻碍整个行业发展的问题。

今天就来聊聊交易所都可能存在哪些安全问题。

这个一般的用户都是接触和感受不到的，但这个里面的业务逻辑也是最复杂的，较大的交易所在这方面都做的不错，只有少部分较小的交易所才容易在内部技术上出问题。

内部第一个问题就是服务器的问题，平常我们登录交易所其实就是一个和交易所服务器链接的过程，服务器具有数据存储和传输的功能，你的账号信息实名信息可能都被存放在交易所的服务器上。从这就可以看出服务器是很重要的一环。

黑客想要攻击服务器一般使用的手段就是对交易所的网站管理后台进行攻击，如果交易所在管理后台这方面不多加注意就可能会被黑客从后天侵入，一但进入后天交易所内所有的代币基本就都无法幸免了。

目前大多数交易所在这方面都比较重视了，当黑客想要对管理后台攻击，交易所可以采取隐藏后台的做法进行规避，可不将后台管理入口暴露在外网中，设置可登录的 ip 白名单。如不得不将后台管理入口置于外网，尽量设置安全性高的验证码机制，使用安全性高的管理平台和复杂度足够的管理员密码。通过这些简单的操作就可以防止黑客直接进入交易所内部，所以最近几年已经很少出现交易所的代币被黑客全部掏空的情况，当然一些交易所跑路找借口让黑客背锅的除外。

内部管理系统筑起长城后，黑客想直接进入内部就已经异常困难，但是服务器并不是一个独立的个体，一直存在着输入和输出的关系，这就又成了黑客的下一个目标。

其中跨站脚本（XSS）是最常见的Web漏洞之一，亦是客户端脚本安全的头号大敌，在各大漏洞提交平台也经常见到XSS的漏洞提交。跨站脚本攻击的危害巨大且可利用处繁多：如XSS钓鱼，Cookie劫持，获取用户真实IP等操作。

通过寻找这其中的漏洞，然后植入木马，依旧可以拿到网站管理员的权限。

这种漏洞在交易所中就时常出现，目前也没有什么太好的解决办法，但是大型交易所都可以通过日常维护及时发现和弥补这些漏洞，基本不会给黑客留下可乘之机。

还有一种就是内部的越权操作，这种攻击可以说是更加隐蔽，还防不胜防。