암호화 거래소에 대한 감사
암호화폐 거래소의 보안을 보장합니다.
개요
고객은 유동성이 높고 기능이 풍부한 암호화폐 거래소 플랫폼을 개발했습니다. 거래소는 비트멕스의 최대 200배에 달하는 레버리지 비율로 현물환(spot exchange) 및 레버리지 거래 (leverage exchange)를 모두 지원했습니다. 특히, 거래소에서 서킷 모드도 암호화되었으며 2층 및 3층 보안, 핫 월렛 및 콜드 월렛을 사용하여 사용자의 다양한 요구를 충족할 수 있도록 했습니다.
Tokyo Tech Lab은 고객의 시스템(각각 클라우드 인프라, 웹, 모바일, 블록체인 지갑 시스템)에 대한 종합적인 침투 테스트와 코드 리뷰를 불과 14일 만에 실시하여 시스템을 공격에 취약할 수 있는 모든 취약점을 파악했습니다.
Tokyo Tech Lab은 고객의 시스템(각각 클라우드 인프라, 웹, 모바일, 블록체인 지갑 시스템)에 대한 종합적인 침투 테스트와 코드 리뷰를 불과 14일 만에 실시하여 시스템을 공격에 취약할 수 있는 모든 취약점을 파악했습니다.
프로젝트 소개
암호화폐는 가치가 빠르게 상승하고 있는 반면 큰 위험이 뒤따릅니다.
암호화폐 거래소는 해킹과 사이버 공격에 매우 취약해지고 있습니다. 2021년에만 전 세계 최대 암호화폐 거래소에서 4건 이상의 도난사고가 발생했습니다. 2011년 이후 76억 달러 이상의 암호화폐 자산이 도난당했으며(코인데스크, 2020), 해커들이 보안 시스템에 대처할 새로운 방법을 찾으면서 상황은 더 악화되는 것으로 보입니다.
암호화폐 거래소인 고객들은 암호화폐 산업과 관련된 위험을 인식하고 플랫폼 출시 3주 전이라는 단기간임에도 불구하고 가능한 취약성을 발견하기 위해 새로 개발된 암호화폐 거래소 플랫폼에 대한 외부 침투 테스트 및 심층 코드 검토를 받기를 원했습니다.
화이트박스 테스트의 일환으로, Tokyo Tech Lab은 근무일 기준 14일 이내에 시스템에 대한 침투 테스트를 수행할 수 있는 모든 필요한 권한을 부여 받았습니다. 이 테스트의 핵심은 시스템에 존재하는 취약성을 발견하고 확인하기 위해 많은 조사 및 공격 활동을 수행하는 것입니다. 이 테스트의 목표는 전체 시스템 아키텍처를 테스트하고, 네트워크를 평가하고, 관련 서브시스템을 식별하고, 취약점을 찾아내고, 고객에게 조사 결과를 보고하는 것이다.
암호화폐 거래소는 해킹과 사이버 공격에 매우 취약해지고 있습니다. 2021년에만 전 세계 최대 암호화폐 거래소에서 4건 이상의 도난사고가 발생했습니다. 2011년 이후 76억 달러 이상의 암호화폐 자산이 도난당했으며(코인데스크, 2020), 해커들이 보안 시스템에 대처할 새로운 방법을 찾으면서 상황은 더 악화되는 것으로 보입니다.
암호화폐 거래소인 고객들은 암호화폐 산업과 관련된 위험을 인식하고 플랫폼 출시 3주 전이라는 단기간임에도 불구하고 가능한 취약성을 발견하기 위해 새로 개발된 암호화폐 거래소 플랫폼에 대한 외부 침투 테스트 및 심층 코드 검토를 받기를 원했습니다.
화이트박스 테스트의 일환으로, Tokyo Tech Lab은 근무일 기준 14일 이내에 시스템에 대한 침투 테스트를 수행할 수 있는 모든 필요한 권한을 부여 받았습니다. 이 테스트의 핵심은 시스템에 존재하는 취약성을 발견하고 확인하기 위해 많은 조사 및 공격 활동을 수행하는 것입니다. 이 테스트의 목표는 전체 시스템 아키텍처를 테스트하고, 네트워크를 평가하고, 관련 서브시스템을 식별하고, 취약점을 찾아내고, 고객에게 조사 결과를 보고하는 것이다.
엄격한 일정 때문에 저희 팀은 단순화된 감사 절차를 적용했습니다.
1
상황 파악
2
테스트 범위 정의
3
테스트
4
이슈보고
5
수정사항 확인
이러한 짧은 시간을 통해 팀이 제안한 접근 방식은 현재 시스템을 신속하게 분석하여 잠재적인 위험을 식별하고 가장 중요한 항목을 우선적으로 고려하며 침투 테스트를 실행하고 보안 문제를 보고하고 해결책을 제시하며 핫픽스를 가능한 한 빨리 확인하는 것입니다. 초기 계획 단계에서 일본과 베트남의 두 팀은 국경을 초월한 협업을 수행했습니다.
Tokyo Tech Lab은 또한 플랫폼 출시 후 시스템의 보안 수준을 보장하고 설계의 모든 위험을 철저히 분석하며 추가 개선 계획을 제안할 것입니다. 주요 출시 전 정기 테스트도 이루어질 것입니다.
Tokyo Tech Lab은 또한 플랫폼 출시 후 시스템의 보안 수준을 보장하고 설계의 모든 위험을 철저히 분석하며 추가 개선 계획을 제안할 것입니다. 주요 출시 전 정기 테스트도 이루어질 것입니다.
성과
Tokyo Tech Lab은 고객의 클라우드 아키텍처, 웹 앱, 모바일 앱, 블록체인 지갑에 대한 포괄적인 감사 및 코드 검토에서 시스템의 30개 이상의 보안 문제를 발견했습니다. 그 중 약 10개는 플랫폼 출시 전에 해결해야 할 중요하고 주요한 취약점이었습니다.
약한 관리 조직
액세스를 제한하지 않는 API가 많음
오래된 소프트웨어 사용
모바일 호환성 및 2 인자 인증
부적절한 속도 제한
주요 문제 중 하나는 많은 API 기능에 대한 제한이 누락되었다는 것입니다. 이는 사용자가 다른 사용자의 정보에 접근하여 그 내용을 변경할 수 있어 심각한 보안 위험을 초래합니다. Tokyo Tech Lab은 이 문제를 해결하기 위한 수정 사항을 제안하고 올바르게 구현되었는지 확인했습니다.
또 다른 문제는 플랫폼이 Apache, OpenSSL, jQuery Bootstrap, Bootstrap-Vue, Laravel, PHP와 같은 오래된 소프트웨어를 사용했다는 것입니다. 이것은 잠재적인 위험이며 해커가 취약성을 이용하여 불법적으로 액세스 가능하게 합니다. 특히 자사의 전자화폐 거래 플랫폼을 첨단적이고 보안성이 높은 플랫폼으로 홍보하려는 경우 초기 단계부터 구식인 소프트웨어를 사용하지 않는 것이 좋습니다.
또 다른 문제는 플랫폼이 Apache, OpenSSL, jQuery Bootstrap, Bootstrap-Vue, Laravel, PHP와 같은 오래된 소프트웨어를 사용했다는 것입니다. 이것은 잠재적인 위험이며 해커가 취약성을 이용하여 불법적으로 액세스 가능하게 합니다. 특히 자사의 전자화폐 거래 플랫폼을 첨단적이고 보안성이 높은 플랫폼으로 홍보하려는 경우 초기 단계부터 구식인 소프트웨어를 사용하지 않는 것이 좋습니다.
사용 기술
* 보안상의 이유로 몇 가지 대표 프로젝트만 소개하겠습니다.
더 보기
로지스틱스 Saas 시스템
DX를 통해 일본의 로지스틱스를 촉진합니다.
Tokyo Tech Lab은 신뢰성과 확장성이 높은 SaaS (서비스형 소프트웨어) 플랫폼을 활용해 시스템을 구축해 왔으며 일본 로지스틱스 업계의 일일 운행관리 디지털화와 효율화에 기여하고 있습니다.
SaaS
AI R&D
웹 애플리케이션
품질보증
사이버 보안
수면분석 앱
고객의 수면 질을 분석하여 적절한 상품을 추천합니다.
Tokyo Tech Lab은 Airweave가 고객 데이터를 간편하고 편리하게 관리할 수 있는 CRM (고객 관계 관리) 시스템을 제공하며 효율적인 운영 및 친화적인 모바일 애플리케이션을 구축할 수 있도록 지원했습니다.
모바일 앱
AI R&D
사이버 보안
품질보증
정보를 남겨주시면 빠른 확인 후 연락드리겠습니다.
연락처
© 2023 Tokyo Tech Lab. All Rights Reserved.