加密货币交易者都非常关心他们最喜欢的交易所是否安全。加密货币领域的黑客可谓猖狂，2018年交易所被盗走巨额8.5亿美元，截至目前为止，已有2.19亿美元被盗。近期网络盗窃受害者包括DragonEx（700万美元），CoinBene（1.05亿美元），Bithumb（1900万美元）和Binance（4100万美元）。所有加密货币交易所及其用户都应该记住那些无法从网络盗窃中恢复过来的交易所，如Cryptopia，YouBit，Coinbi等。如果加密货币交易所忽略了针对其平台和用户资金必要的网络安全措施的话，那么就会有新的交易所面临被盗。本报告的主要目标不是为了特意宣传或贬低任何交易所，而是为了将交易所在网络安全方面那些好的、不好的以及丑陋的状况呈现出来。

方法论更新

我们在2019年1月发布的一份报告中详细描述了该分数评估背后的主要方法。为了使评估更公平，更多层面，我们通过添加“其他特征因素”来更好地评估每个交易所的用户安全参数选项，从而大大改进了我们的研究方法。这些因素包括交易密码，提现密码，IP白名单，提现钱包白名单，反网络钓鱼代码等。此外，为了使评估更加公平，我们重新权衡了网络安全评分（CSS）计算模型的各种参数的权重系数和等级。我们相信最新的方法可以提供更加准确的评估结果。

数据

根据我们的方法，CSS的最大值是10分，但评估结果显示，所有的交易所的得分都在4到9分之间。评分结果见图1。

图1. CSS排名前100的交易所

从图表中可以明显看出，只有5个交易所的CSS值超过8分。这五个交易所分别是：Bibox （8.43），Gate.io（8.33），Binance（8.26），Kraken（8.18）和HitBTC（8.15）。网络安全评分最差的交易所分别是CatEx（4.00），Bithumb（4.14）和CoinEgg（4.43）。包括Hubi（4.59），CoinBene（4.63），DOBI Exchange（4.72）和Bitinka（4.87），这些交易所得分都低于5分，因此，根据我们的研究，在这些交易所上交易、存储资金是最不安全的。绝大多数被调研的交易所（100个交易所中的56个）的平均分数都在6到7分不等。

在审查结果之后，我们可以区分出，在我们评估100个加密货币交易所的网络安全中的三个最薄弱的地方。“漏洞悬赏”的效用是最低的，因为82％的交易平台没有有效的漏洞奖励（见图1）。尽管如此，与我们1月份的报告（87％的交易所没有漏洞奖励）相比，这份数据结果要好得多。

图2 漏洞悬赏有效性

另一个值得注意的薄弱点是与用户安全参数，与密码有关。 68％的交易所对密码的设置要求很低（见图3）。

图3 密码设置要求

为了评估密码设置要求的强度，我们考虑了所需的密码长度和各种所需的符号，如数字，字母，大写字母，特殊字符等。此外，我们检查了是否有任何交易所允许用户创建安全系数较低的密码，尽管交易所声明了严格的密码设置要求，根据结果我们定义了四个密码强度等级：

密码安全系数低 - 仅需要最小密码长度，通常是超过6个字母或不少于8个字符

密码安全系数合适 - 只需要两种类型的符号，通常是数字或者数字和大写字母的组合

密码安全系数中等 - 需要3种强制型的符号：数字，字母和大写或特殊符号

密码安全系数高级 - 需要4种类型的符号，通常长度不少与10甚至12个符号

DNSSEC是第三个网络安全薄弱点：60％被评估的交易平台没有适当的域名记录，因此易受DNS缓存中毒攻击（见图4）

图4 DNSSEC 记录排名前100交易所

结论

下面是一张包含最终结果的表格。它包含CER根据最新的方法计算出来的包括服务器安全，用户安全，众包安全，历史案例和总网络安全分数（CSS）的分数。

表1 总网络安全分数排名前100交易所

从评估结果可以看出，只有14％的交易所总得分相对较高（超过7分）。这意味着对于绝大多数交易平台而言，在网络安全方面还有很多需要改进的地方，尤其是用户安全（平均值5.17分）和众包安全（82％没有漏洞悬赏）。

我们希望本报告能够帮助用户在合理选择交易平台进行交易的时候，能够考虑交易所在网络安全方面的弱点。（CER团队）