Jump to content

Обновленная система безопасности на OKCoin


Recommended Posts

Posted

В последнее время мы все чаще слышим о взломах криптовалютных бирж, обменников и прочих сервисов. По некоторым оценкамначиная с 2011 года более 18000 BTC крадется хакерами ежемесячно. В связи с этим вопрос безопасности становится одним из главных приоритетов для биткойн-сервисов. На прошлой неделе представители биржи OKCoin рассказали пользователям Reddit о том, как они обеспечивают защиту «холодных» кошельков, и об основных принципах, которые биржа применяет для надежного хранения биткойнов.


Принципы безопасности для холодных кошельков во многом заимствованы из концепции «правила двух человек», иначе известной как «принцип четырех глаз», который разработаны в нормативах ВВС США для достижения повышенного уровня безопасности при выполнении особо важных операций.


В разгар холодной войны в 1960-е годы в США имелось несколько ракет минутной готовности, пуск которых могли произвести только по правилу «двух человек». В случае команды на запуск, оба члена команды должны были использовать свои ключи одновременно с командой на отсчет. Два ключа располагались на таком расстоянии друг от друга, чтобы один человек не имел возможности использовать одновременно оба ключа и таким образом запустить ракеты.


В OKCoin стали внедрять новые меры безопасности для защиты клиентских холодных кошельков после нарушения системы безопасности биржи BTER, которое привело к краже более 7000 BTC. В посте на Reddit OKCoin сообщили, что поддерживают следующие принципы в соответствии с новой философией системы безопасности биржи:


  • Любое оборудование, подключённое к интернету, уже по сути уязвимо.
  • USB-накопители небезопасны, поскольку могут быть поражены вирусами. Такой вирус способен вносить изменения в сеть сразу после установки в порт и позволяет похитить содержимое системы.
  • Безопасность какой-либо системы не может зависеть от одного человека. Любой доступ к холодному кошельку должен быть подтвержден двумя уполномоченными лицами.
  • В случае непредвиденных ситуаций с одним из авторизованных лиц, должен быть кто-то с доступам к бекапам, не находящимся на сервере биржи.
  • Людей могут похитить, по этой причине данные должны храниться в максимально безопасных банковских сейфах только с личным доступом.

 


Компания также раскрыла принцип формирования закрытых ключей и резервных копий:


  • 10000 закрытых ключей и соответствующие адреса генерируются на не подключенном к сети компьютере.
  • На этом же компьютере эти данные проходят стадию AES шифрования.
  • После этого 10000 оригинальных ключей удаляются.
  • AES-пароль знают два сотрудниками OKCoin. Один из них находится в пекинском офисе биржи, другой в городе на Западном побережье США.
  • Эти два сотрудника не могут использовать одновременно один и тот же транспорт.
  • Адрес и зашифрованный закрытый ключ на автономном компьютере отображаются в формате QR-кода.
  • QR-код адреса сканируется с помощью другого компьютера для публикации адреса холодного кошелька для перевода депозита с оперативного кошелька. Каждый адрес «холодного» кошелька будет использован только один раз.
  • QR-код зашифрованного ключа печатается на бумаге и хранится в хорошо защищенном банковском сейфе. Даже если владелец зашифрованного ключа был похищен, документ будет находиться в безопасности, поскольку для получения кода нужно присутствовать в банке лично.
  • QR-код в зашифрованном виде хранится и в виде резервных копий. Одна в банковском сейфе в Китае, а другая на западном побережье США.
  • Доступ к этим двум банкам предоставлен двум отдельным людям.
  • Эти два человека не перемещаются совместно.
  • Доступ к банковским сейфам и контроль паролей AES предоставлен совершенно разным людям.

 


OKCoin является первой на сегодняшний день крупной биржей, которая публично озвучила меры, принимаемые для обеспечения безопасности средств клиентов. Команда также поделилась информацией о процессе перевода валюты из «холодного» хранения в операционный кошелек:


  • Персонал отправляется в банк рядом с офисом и получает из сейфа соответствующее количество неиспользованных зашифрованных ключей. QR-коды этих ключей сканируются на офлайн-компьютере.
  • QR-код сканируется на другой офлайн-компьютер.
  • Владелец мастер-пароля AES расшифровывает зашифрованные секретный ключ на офлайн-ПК.
  • Сканируется QR-код закрытого ключа и импортируется на другой офлайн-ПК.
  • Проходит процесс подписания транзакции на другом ПК в офлайн-режиме. После подписания транзакции проходит процесс синхронизации через компьютер с подключением к интернету с помощью USB-носителя.

 


CEO OKCoin Стар Сю говорит, что закрытые ключи для «холодного хранения» действительно надежно хранятся, и что использования «принципа четырех глаз» является лишь одной из мер безопасности, которые OKCoin взяли на вооружение.


Прозрачность OKCoin в вопросах безопасности является еще одним шагом вперед в направлении увеличения обмена информацией в криптовалютной индустрии, и команда OKCoin рассчитывает получить обратную связь по поводу озвученных принципов, как от пользователей, так и от представителей бизнеса.


http://www.reddit.com/r/Bitcoin/comments/2yx1p3/okcoin_first_bitcoin_company_to_openly_share_cold/


http://www.reddit.com/r/Bitcoin/comments/2zjbpb/18500_btc_are_stolen_or_hacked_every_month_since/


http://coinspot.io/technology/princip-chetyryoh-glaz-kak-ustroena-sistema-bezopasnosti-na-okcoin/


 


Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • NicePay.Io - Платежная система (High-Risk,Геймблинг, более 30 видов оплаты, включая QR

      Наши Комиссий (Стартовы) Принятие: Банки РФ (Без разницы какой банк) 6%  Банки УКР от 6% Банки Казахстан от 6% Банки РНБК от 6%   Вывод: Вывод осуществляется в USDT  Комиссия за вывод - 0% ( Вы платите комиссию сети ) Подключайся уже сейчас и начни принимать платежи от своих клиентов! NICEPAY.IO - Платежная система Работа тех поддержки 24 на 7  Сайт - NicePay.IO Телеграм c

      in Платежные решения

    • CactusPay.PRO — P2P, Card2Crypto, быстрый вывод в USDT | Платёжная система без холдов

      CACTUSPAY.PRO — Прием онлайн-платежей для вашего бизнеса — платёжная система нового поколения — Стабильные реквизиты для приёма оплат Моментальные выплаты в USDT TRC-20 Поддержка 24/7 без ожиданий и отписок API и Telegram-интеграция за 1 день На рынке — с 2022 года CactusPay.PRO — это не просто сервис приёма платежей, а полнофункциональное платёжное решение для сайтов, Telegram-ботов и digital-проектов.   Поддерживаем: — Card2Crypto — P2P — СБП — Интернет-эква

      in Платежные решения

    • Heleket – Криптоплатежная система для бизнеса

      Heleket – это платежное решение для вашего бизнеса. Принимайте платежи в BTC, ETH, USDT и многих других криптовалютах! Начните легко и безопасно принимать криптовалюту от клиентов по всему миру на ваших сайтах, интернет-магазинах, ботах и других платформах.                                                                                                                                 Почему стоит выбрать Heleket?   Никаких платежей за подключение – комиссия только за обработку

      in Платежные решения

    • 1Plat - Платёжная система(платежи от 100р.) | High/Low Risk

      1Plat — Платёжная система для вашего проекта Мы не распыляемся на огромное количество ГЕО;  Работаем по RU и делаем это — хорошо! Платёжное решение одинаково подходит как Low Risk, так и High Risk проектам.   В общих чертах о нас: 1Plat — Система, созданная Мерчантами для Мерчантов.  Перебирая одно за одним платежные решения, мы так не нашли ничего, что могло бы закрыть наши потребности как мерчанта. Поэтому закатали рукава, и сделали всё сами. Результат превзош

      in Платежные решения

    • Платежная система Joker-Pay.com

      Платёжная система Joker-pay.com     💸 Работаете с high-risk или серыми нишами и не можете найти нормальный процессинг?   Посмотрите на Joker-pay.com — система, которая создана для реальных задач:   - обработка платежей в сложных нишах ; - нет ограничений по гео или видам трафика; - стабильные выплаты, прозрачный API; - высокая конверсия.   Идеально подойдет для опытных команд, которые ценят скорость и результат. 📬 Напишите

      in Платежные решения

×
×
  • Create New...