管理風險:深入了解幣安平台安全性
關鍵要點
牽涉用戶資金與資訊的時候,風險管理的重要性不容輕視。
我們會在全新系列之中分享相關經驗,了解如何辨識與消除潛在威脅,以保護您的安全。
與幣安安全長 Jimmy Su 一同了解幣安的平台安全措施。
管理風險的最好方法便是預期風險。以下介紹幣安保護用戶的方法,先從平台安全措施開始討論。
牽涉個人資訊與加密貨幣資產時,平台安全性不能單靠運氣。這便是為甚麼任何管理客戶貴重資產的機構都應將風險意識與管理列為首要優先事項。
幣安採取全面性做法,從波動性控制機制到嚴格的安全政策,旨在保護用戶。全新管理風險系列中,我們將分享最佳手段,讓用戶辨識並對抗最大威脅。
系列開頭,我們將引導您了解幣安為用戶築起的第一道防線 – 我們的平台安全措施。
幣安對平台安全的看法
「攻擊是最好的防禦。為保護我們的用戶,我們不僅需要從用戶的角度了解加密貨幣生態系,更需要從駭客的角度去理解。」– Jimmy Su,幣安安全負責人
在幣安,我們仔細觀察並研究老練的攻擊者如何進攻。我們必須確實為用戶的 個人資訊與資金維持最高等級的安全性。維持安全性的關鍵?那便是預期攻擊。
「平台安全措施等深入防禦層是所有企業的安全性基本要素。我們做法的特異之處在於了解敵人 – 通過進攻-防禦模擬法了解敵情。」 – Jimmy Su,幣安安全負責人
為協助這項工作,幣安尋求了兩種白帽駭客的協助 – 內部與外部。
這兩組安全性專家在平台安全扮演不同的角色,但都一樣重要。內部白帽是招募進入幣安紅隊的世界級駭客。外部白帽為幣安漏洞懸賞計畫的參與者。兩組團隊協助模擬攻擊,測試平台的弱點與漏洞。
幣安所發布的懸賞計畫與主持奪旗競賽能夠運用頂級網路安全專家的能力,強化整體平台安全性。
幣安平台安全措施
平台安全:全方位方法
安全性非常複雜。我們必須了解所有可能威脅安全的東西 – 從技術漏洞到人員行為 – 並做相應的準備。僅有如此,我們才能保護用戶免受各種威脅。
認識 你的 客戶 (KYC) 與洗錢防制 (AML) 協定
「我們以成為最佳 KYC 供應商為目標,提供用戶與員工測試 KYC 協定。」– Jimmy Su,幣安安全負責人
作為一間全球機構,幣安與眾多供應商配合,為不同地區的用戶訂製 KYC 方法。
幣安同時透過內部服務與外部供應商保有業界頂級的洗錢防制 (AML) 流程。其中包含 Chainalysis 等鏈上供應商,幫助我們進行針對性調查,協助資金回收工作。
多步驟驗證 (MFA)
為求更好的用戶體驗,平台針對風險等級進行分類,並實行合適的多步驟驗證 (MFA) 措施。低風險活動 (例如:使用已辨識裝置登入幣安查看帳戶餘額) 可能不需要進階 MFA。但相對地,高風險活動 – 特別是提款 – 便需要第二個登入步驟才能執行。
持續監控
駭客可能會通過暗網論壇交換情報與技巧 – 我們對此進行追蹤,並與執法單位分享資訊,維持整個產業的安全。
我們同時也會留意威脅,並固定執行安全性審查。 其中包含:
威脅情報監控。我們監控第三方資訊洩漏與暗網市場,留意威脅指標。若您的帳戶可能遭受威脅,我們會自動保護您的登入憑證,維護您的安全。
即時監控。我們 運用先進人工智慧與機器學習演算法 偵測平台上的異常活動,包含不尋常登入模式 (自不同的客戶端、裝置或位置登入) 與交易模式 (時間、提款金額增加)。
固定測試與審查。我們運用滲透測試、漏洞掃描與程式碼審查等技巧測試有無弱點。我們亦會進行審查,確保用戶資訊的隱私與安全。
防釣魚碼功能
在 網路釣魚詐騙中,不肖人士會寄送假造幣安電子郵件,企圖竊取您的資金。若您設定了防釣魚碼 – 只有您與幣安知道的四位數代碼 – 代碼 會附加在我們寄送的電子郵件中。您便能迅速安全地辨識電子郵件是否來自幣安。
幣安驗證
另一個檢查互動方是否為真實幣安來源的方法,便是使用 幣安驗證。您可以驗證網站連結、電子郵件地址、電話號碼、微信 ID、推特帳戶與 Telegram ID。
提領白名單
您也可以建立 提領白名單降低未經授權存取的風險。白名單是可提領加密貨幣的可信任錢包地址清單。
十億美元 SAFU 基金
「幣安的十億美元 SAFU 基金乃業界首創,也是最全面的用戶保障安全網。現在沒有任何第三方保險能夠等量齊觀。」– Jimmy Su,幣安安全負責人
2018 年 7 月,幣安推出了用戶資產安全基金 (SAFU)。這筆緊急基金能協助用戶回復因安全性漏洞而損失的資產。該基金於 2022 年 1 月 29 日的價值為 10 億美元,但會因市場變化而波動。為解決上述問題,我們持續確保基金規模維持在同等水準 – 當價值下跌時存入 資產,以回復十億美元水準。
員工訓練
我們提供安全性課程,因此團隊能夠針對最新的詐騙與社交工程攻擊保持警覺。我們亦會進行網路釣魚電子郵件演習,向幣安員工發送假造電子郵件,測試其是否有良好的安全習慣。這些活動有助於訓練員工避免受到網路釣魚攻擊。
其他平台措施
登入逾時機制
即時安全性通知
數位資產冷儲存
即時監控交易與異常活動
給讀者的一段話
「談到用戶保護的時候,最好的防禦是主動保障您自己的資產與資訊。這便是為甚麼關鍵是教育用戶。」– Jimmy Su,幣安安全負責人
幣安實行一系列安全性協定保護您與您的資產。然而,我們的工具與平台安全措施仍有其極限 – 用戶也必須理解如何自行識別並迴避潛在威脅。
加密貨幣持有者應知曉辨識與防範常見威脅的方式。您可以多種方式實踐良好安全習慣,包含下列方式:
保持冷靜,與幣安共同管理風險
為了盡可能在所有面向實現平台安全,幣安固定每季設定全新安全性目標,例如針對現有系統進行壓力測試,以及員工訓練。
此外,我們鼓勵所有加密貨幣持有者主動保障資產。其中包含了解 Web3 空間最新詐騙手法,以及可用於對抗此類詐騙的安全功能。
請持續關注本系列下一篇文章。
延伸閱讀
(部落格) 加密貨幣的 KYC 驗證 - 參照比較
(部落格) 今天的收穫:防釣魚碼以及如何自保
(常見問題) 幣安帳戶安全性提示