一项针对加密货币交易所安全状况的研究显示,行业整体防护水平仍不乐观。ICOrating对100家日交易量超过100万美元的交易所进行了评估,结果发现,54%的交易所至少在一项安全指标上存在明显不足,这意味着大量平台及其用户仍暴露在潜在攻击风险之下。
基础安全措施仍有明显短板
报告指出,不少交易所在最基本的账户安全环节就未做到位。具体来看,41%的交易所允许少于8位字符的密码,37%的交易所允许用户仅用数字或仅用字母设置密码。此外,5%的交易所甚至允许在不验证电子邮件的情况下创建账户,另有3%的交易所未提供双重身份验证(2FA)。综合四项基础标准后,只有46%的平台全部达标。
域名与注册安全更为薄弱
除账户安全外,ICOrating还评估了注册商及域名层面的防护措施,包括可防止未授权域名变更的registry lock,以及能够降低DNS缓存投毒风险的DNSSEC。结果显示,只有2%的交易所启用了registry lock,仅有10%的平台使用DNSSEC。若按五项域名与注册安全实践综合衡量,只有4%的交易所达到其中四项最佳实践标准,反映出这一层面的安全建设尤为薄弱。
交易所评分分化明显
在综合安全评分方面,没有任何一家交易所达到90分以上。其中,Coinbase以89分位列第一,Kraken以80分排名第二,Bitmex和Gopax同以78分并列第三。此外,Cobinhood排名第8,Ethfinex排名第12,Bittrex排名第13,Binance排名第17。
榜单末位则是Okcoin.cn,仅获15分。其他得分较低的平台还包括Mercatox(25分)、曾遭黑客攻击的Zaif(29分)以及Bithumb(34分)。报告同时指出,这项研究并未覆盖动态IP验证、提现审核等更多安全机制,因此并非对平台风控能力的全面审计,但仍为观察交易所安全状况提供了一个有价值的行业切面。
从Mt. Gox到Zaif,交易所遭攻击事件长期伴随加密行业发展。此次研究再次说明,尽管平台普遍强调安全建设,但在密码规范、邮箱验证、2FA以及域名保护等基础环节,行业仍有相当大的改进空间。

