概要：本文通过暗网数据测试，分析了加密货币交易所账户的安全性。文章指出fastex.com交易所存在账户信息泄露问题，而OKX交易所则通过三步认证机制有效防止了账户被盗，后期作者会持续关注针对其他交易所的测试，本文会继续跟踪更新。作者强调了多层次安全措施的重要性，并提供了13条具体的安全建议，以降低加密资产被盗风险。

本文作者：老王@laowang3000、余弦@evilcos等。发文时间：下午9:38 · 2024年7月31日

最近得余弦@evilcos兄弟的提点，看了看交易所的安全。由于我们主要是做暗网的，就重点看的账号安全。

一、fastex交易所账户测试

比如https://fastex.com交易所的账号安全做的就不是很好，首先是大约有数百个账密的泄露，其次是经验证，它们是可以成功登录的。

泄露的账户信息

fastex账户测试

泄露的原因可能挺多，不一定是交易所自身的问题，从数据来看可能是该用户在访问交易所后浏览器日志的泄露。不过如果拿到这些泄露账号密码可以成功登录，没触发风控异常，恐怕交易所这方面的风控机制是需要加强了。

二、OKX交易所账户测试

刚才又测试了一下https://okx.com的账号安全，真的很棒。虽然从combolog中泄露了上万个okx账号（非平台泄露，可能是用户登录okx后浏览器泄露），但是平台检测到异常登录后（地址和设备），需要3步认证。我们的测试通过了密码和邮箱验证码（邮箱同样会存在泄露）后，无法通过手机验证码认证。

okx开启三步验证防止账户资产被盗

三、缘由

Cos(余弦)😶‍🌫️@evilcos于下午10:28 · 2024年7月31日回复：

一个启发：暗网各种数据很多，能加工再加工后确实会有意想不到的利用效果。有的人总是不知道自己的号为什么会出问题，说不定早就被各种盯着了。包括助记词这些，上次新闻报的某钱包内部人员，没抵抗住诱惑，偷偷采集走了几千条私钥/助记词，熬了快两年，没钱了，于是才真开始动手转移其中资产…

什么是虚假的安全感？这就是一种，潜伏在黑暗森林里的猎人早就得手了，等着呗，找个“良辰吉日”手起刀落…而这期间，用户们觉得自己很安全，猎人根本没盯上自己…🙈

四、建议

防止加密资产在交易所账户中的资产被盗需要采取多层次的安全措施。以下是一些关键建议：

1. 选择信誉良好的交易所：
– 选择知名且安全性高的交易所，查看其安全历史和用户评价。
– 确保交易所具备严格的安全措施和保险计划。

2. 启用双因素认证 (2FA)：
– 使用Google Authenticator、Authy等应用程序启用双因素认证。
– 避免使用短信验证，因为短信可能被劫持。

3. 使用强密码：
– 设置复杂且唯一的密码，避免使用在其他网站上使用过的密码。
– 密码应包含字母（大小写）、数字和特殊字符。

4. 定期更新密码：
– 定期更换交易所账户密码，尤其是在怀疑账户安全受到威胁时。

5. 启用提款白名单：
– 在交易所账户中启用提款白名单功能，只允许资金提取到指定的地址。
– 需要更改白名单时，确保有额外的验证步骤。

6. 监控账户活动：
– 定期检查账户活动记录，及时发现和应对异常活动。
– 设置账户活动通知，及时接收账户登录和交易通知。

7. 分散资产存储：
– 不要将所有资产存放在交易所中，长期持有的资产应转移到个人钱包（如硬件钱包）中。
– 仅将交易所账户用于短期交易和小额资产存储。

8. 使用安全的网络环境：
– 避免在公共Wi-Fi网络上进行交易操作，使用私人和安全的网络连接。
– 考虑使用VPN加密网络流量。

9. 防范钓鱼攻击：
– 仔细检查交易所URL，避免点击可疑链接。
– 不要在未经验证的网站或应用程序中输入账户信息。

10. 保持软件更新：
– 确保浏览器、操作系统和所有相关软件保持最新版本，修补已知漏洞。

11. 冷钱包和热钱包分离：
– 交易所通常会将大部分资产存放在冷钱包中，确保交易所本身的安全措施到位。

12. 教育和意识：
– 了解常见的安全威胁和防范措施，保持安全意识。
– 参加交易所提供的安全培训和更新。

13. 使用硬件安全模块 (HSM)：
– 如果交易所支持，使用硬件安全模块进行交易签名和验证。

通过综合采取这些措施，可以大大降低加密资产在交易所账户中被盗的风险。安全是一个持续的过程，需要不断学习和调整策略。