区块链安全服务整体解决方案

知道创宇根据区块链技术特性并结合多年来区块链安全服务项目的用户需求,从公链、钱包、智能合约的专项安全审计服务延伸至交易所安全审计、矿场安全解决方案、红蓝攻防对抗演习、全网安全运维服务、全网安全策略评估,从外部攻击视角、 安全防护视角、安全运维等视角为用户提供多维度的整体安全服务解决方案

整体解决方案服务思路

THOUGHT
  • 核心业务安全审计

    交易所安全审计

    钱包安全审计

    公链安全审计

    智能合约安全审计

  • 关键资产风险监测

    矿场安全解决方案

    红蓝攻防对抗演习

  • 日常安全运维服务

    全网安全运维服务

    全网安全策略评估

核心业务安全审计

CORE BUSINESS SECURITY AUDIT

交易所安全审计

WEB交易所 + APP交易所

安全审计服务内容

域名安全 业务安全 应用安全 中间件配置
数据库安全 通信安全 信息泄露 服务器安全

钱包安全审计

针对APP热钱包、PC客户端热钱包、浏览器扩展热钱包、全节点热钱包
  • 代码审计

    从安全的角度对代码进行的安全测试评估,通过分析当前 应用系统的源代码,在熟悉钱包业务系统的情况下,从应用 系统结构方面检查其模块和功能之间的关联、权限验证等内容; 从安全性方面检查其脆弱性和缺陷。

  • 渗透测试

    根据创宇的安全服务经验,区块链客户关于钱包的安全,较注重其注册,登录,提现,交易的过程中的安全,知道创宇 工程师会在对钱包系统不造成任何损害的前提下,模拟黑客攻击的方式对钱包 进行完整的攻击测试,发现其存在的安全缺陷。

公链安全解决方案

针对公用链进行源代码审计及整体性安全测试,通过部署测试环境,结合源代码,找出可能存在的安全风险

智能合约安全审计

黑客利用漏洞入侵系统对智能合约用户造成巨大损失

    安全风险

  • 隐私泄露

    智能合约对区块链上的所有用户可见,包括但不限于标记为 private 的资源,或可造成隐私信息泄露。

  • 交易溢出及异常

    由于智能合约本身的约束条件,如条件竞争、交易顺序依赖等,造成的交易溢出与异常。

  • 合约故障

    由于智能合约代码中可能存在的不合理故障处理机制,造成的异常行为。

  • 拒绝服务

    由于各种原因可能导致的拒绝服务风险。

    解决方案

  • 函数可见性审核

    敏感函数继承权限检测; 函数调用权限检测。

  • 合约限制绕过审核

    使合约失效,删除地址字节码; 将所有合约资金发送到一个目标地址。

  • 调用栈耗尽审核

    检测栈高度限制,是否出现栈耗尽情况。

  • 拒绝服务审核

    过多货币交易发生异常,导致交易回滚,最终导致合约拒绝服务。

关键资产风险检测

CRITICAL ASSET RISK DETECTION

矿场安全解决方案

  • 建立关键资产的统一管理系统,对矿场内的矿机进行统一管理,杜绝矿机存在弱密码的情况出现。

  • 隔离办公网、生产网,使用堡垒机进行管理,确保安全。

  • 对矿机产生的流量、外部对矿场的流量,例如APT攻击、DDOS攻击等进行监控,保障矿场平稳运行。

  • 定期检测违规外联资产,并对最新爆发的漏洞进行实时批量检测验证。

  • 对矿机配置文件进行校验,配置文件不正确则进行报警。

  • 矿机身份识别,采集矿机的MAC地址等信息进行资产管理。

红蓝攻防对抗演习

    红军服务综述

  • 仿真环境搭建(CSE)

    仿制实际业务环境或按照要求定制仿真业务环境或系统。

  • 应急策略制定(ERR)

    与相关部门人员制定应急策略,并规范工作流程。

  • 风险检测(RCM)

    针对公用链进行源代码审计及整体性安全。

  • 日志威胁分析(LTA)

    在对抗演习期间,对网络、安全设备、主机、中间件等系统日志进行综合安全分析。

    蓝军服务综述

  • 可控无限渗透测试(IPT)

    在风险可控的范围下,对关键系统或资产进行定向渗透攻击,以攻击进入组织内部、内网,获取敏感数据或某个关键目标为目的。

  • 内网漫游(IRT)

    成功进入组织内部或内网后,进行内网整体漫游,以获取最多、最高权限、最敏感数据或某个关键目标为目的。

  • 物理攻击尝试(PAT)

    使用物理手段,例如通过门禁弱点、WIFI缺陷、办公场所弱点、人员意识缺陷等,尝试进行攻击并获取敏感数据。

  • 社交攻击尝试(SAT)

    使用社交手段,例如电话、微信、企业QQ、人肉搜索、社工库等方式进行社会工程学攻击尝试,同时获取敏感信息或数据。

日常安全运维服务

DAILY SAFETY OPERATION AND MAINTENANCE SERVICE

全网安全运维服务

全网安全策略评估

服务优势

SERVICE ADVANTAGE

具有丰富的区块链安全服务经验,针对区块链业务关键点和重点漏洞审查能力居国内一线水平。

国际知名安全专家带队,长期致力于研究国内外区块链安全生态信息。

良好的项目质量控制,对项目环节严谨把关,安全专家全程在线,实时解答用户问题。

成功案例

SUCESSFUL CASE

火币案例

用户介绍

火币网将在全球范围内开展5大业务,包括火币全球专业站,火币韩国,火币中国,火币钱包,火币全球美元站。其中,火币中国偏重于区块链技术研发和应用类资讯信息,而火币韩国和火币全球美元站将继续提供当地法币对数字货币的数字资产交易服务。

服务内容

为火币中国提供了针对应用安全风险检测的高级渗透测试服务,针对用户需求设计一套针对域名安全、管理安全、业务安全、代码漏洞、不当防护策略、数据库安全、通信安全、服务器安全的多维度渗透方案,采用非常规测试手法,以达到发现用户业务系统在经历过不同服务方多次渗透测试后依然存在的安全风险,这种交叉型高级渗透测试方案在火币中国项目中取得了用户的认可。

Bit-Z案例

用户介绍

BitZ 2016年创立于香港,是全球著名的区块链资产交易平台,目前已在新加坡、日本、韩国等十个国家和地区设立分部。知名数据评级机构TokenInsight发布通证交易所评级体系显示,BitZ位列全球第四。BitZ团队全部来自全球金融、游戏、电子商务、社交等各行业的顶尖人士。BitZ的使命是提供最安全、高效的服务。

服务内容

在区块链中代币可以登录更多的交易所,让其具有更好的流通性和更大的交易量来实现代币的价值,由此可见交易所的安全问题不容小觑。安服人员对交易所模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节并帮助用户完成对漏洞的最终加固,保障交易所对外提供安全可靠的线上服务。

比特大陆案例

用户介绍

比特大陆科技控股公司(“公司”)是全球领先的算力芯片公司,拥有全球最先进的集成电路工艺设计能力。公司的产品包括算力芯片、算力服务器、算力云,主要应用于区块链和人工智能领域。公司成立于2013年,总部位于北京市海淀区,在香港、新加坡、美国等地设有研发中心。根据Frost&Sullivan的统计,公司是全球前十大、中国第二大无晶圆厂集成电路设计企业。

服务内容

知道创宇依托自身专业的技术支撑能力并结合比特大陆实际服务需求,从安全风险预判、漏洞定向检测、资产威胁实时发现等方向为比特大陆Antpool、btc.com以及矿场等系统提供了渗透测试、代码审计、日志审计、漏洞威胁监控、驻场应急保障多项服务,同时后续工作中还帮助用户完善了信息安全体系建设中的制度管理问题,将可能触发的安全事件从技术抑制与制度管理两个层面进行了针对性防控。

CHBTC案例

用户介绍

CHBTC.COM面向全球提供比特币、以太坊、莱特币、以太坊经典等多种数字资产交易服务,是安全可信赖的数字资产交易网。平台使用多重技术安全防护打造金融级别的专业数字资产交易网,致力于为数字资产投资爱好者创造一个安全、舒适、快捷的交易渠道,使投资者可以放心交易。

服务内容

为了更好的保障CHBTC线上交易所用户的个人信息与财产安全,知道创宇安服团队从常见的多场景注入、重定向检测与利用、敏感信息泄露等普适性漏洞延伸至业务层安全风险的授权绕过、关键信息的截获与修改、规避交易限制等逻辑错误型检测,帮助用户最大限度获取到网站已经存在的安全隐患并帮助用户从专业的安全加固视角去修复已知安全漏洞。

星云链

用户介绍

星云链是全球首个区块链搜索引擎,发掘区块链价值新维度。通过定义区块链世界的基本价值尺度,帮助用户更高效地发现和使用区块链上日渐丰富的的价值信息。

服务内容

根据星云链用户对于星云链节点、数字钱包APP、星云Web数字钱包及浏览器插件这三块重点关注区域,定制一套完整的安全检测方案,其中星云链节点与星云Web数字钱包及浏览器插件这两块业务区域包含注入、跨站、越权、规避交易等91项安全检测内容。数字钱包涵盖了安卓与IOS的移动客户端程序安全、组件安全、通信安全、进程安全、轻钱包应用安全等9类66项安全检测内容。历经多项专业安全检测后,星云链核心业务将更加安全可信的稳定运行,同时也帮助知道创宇与星云链建立了更多关于区块链安全领域的合作机会。

联系我们

CONTACT US

互联网客户电话

工作日:9:00-18:00

政企客户电话

工作日:9:00-18:00

官方微信

扫描关注官方微信

QQ 在线咨询

工作日:9:00-18:00