Web3中心化交易所安全风险实践指南

2025-08-14 17:18:03   0  举报





AI智能生成

为了确保Web3中心化交易所的安全运营，业界制定了一套全面的《Web3中心化交易所安全风险实践指南》。该指南深刻阐述了包括但不限于系统漏洞防范、交易监控、资金管理、身份验证以及用户教育等方面的核心内容。文件类型为详细的指导手册，能够为交易所从业者和利益相关者提供实用的防御策略。指南被严谨表述，采用清晰明了的术语，确保每一条建议均能够迅速应用于实际的交易所运营之中，从而大幅降低潜在的安全风险。

WEB3

交易所

企业多场景安全

办公安全

业务安全

作者其他创作

大纲/内容

用户端安全风险

用户端

用户自我保护不当导致账户被盗

威胁手段/表现

邮箱被盗+邮箱作为2FA或密码找回

SIM Swap Attck +短信作为2FA或密码找回

用户访问仿冒站点导致认证信息被窃取

存储了用户敏感信息的云服务被破解

用户设备被黑导致用户敏感信息泄露

平台安全措施不足导致泄露/撞库/破解

威胁手段/表现

人机验证机制不足导致存在破解或撞库风险

登录或注册处可验证邮箱/手机注册状态

用户在其他服务使用相同认证信息泄露

用户使用了较弱的密码或保护机制

API Key 泄露/被盗

威胁手段/表现

存储用户API Key主机被黑

托管了用户APIKey的三方平台被黑或作恶

用户将含有API Key的代码上传至Github等平台

用户误操作将API Key发送到社群

近源污染/劫持

威胁手段/表现

参考链路及通道安全部分

钓鱼/仿冒站点盗取用户资产

威胁手段/表现

攻击者购买搜索引擎广告位投放虚假链接

攻击者通过社群内传播仿冒站点/冒充客服

诱导用户点击钓鱼链接

攻击者使用反向代理+程序自动化盗取用户资产

前端恶意代码

威胁手段/表现

用户安装了恶意浏览器插件

利用前端XSS插入恶意代码

通过劫持在流量中插入恶意代码

Web端供应链安全

威胁手段/表现

使用的第三方组件供应商被黑，组件被替换

使用的第三方组件的管理后台被黑（如，GTM、ZenDesk等）

剪贴板安全

威胁手段/表现

使用第三方输入法，并开启云端自动同步

用户端感染恶意程序操控剪贴板内容

用户胁迫交易

威胁手段/表现

人身安全受到威胁，被迫提币至恶意地址

APP 安全

仿冒App传播

威胁手段/表现

通过应用市场传播虚假或重打包的App

通过搜索引擎传播虚假或重打包的App

通过社群传播虚假或重打包的App

App通信机制安全性不足

威胁手段/表现

SSL安全性不足

手机端环境存在风险

威胁手段/表现

手机处于高风险环境，可能被植入恶意程序

手机安装了恶意App或未经验证的App

手机使用了代理软件以绕过注册交易等区域限制

App供应链安全

威胁手段/表现

引用了被替换或虚假的第三方组件

第三方输入法安全性不足

App打包过程安全风险

敏感信息未加密/弱加密保护

威胁手段/表现

App被破解或重打包

App敏感JSBridge API未保护任意网页可访问，导致用户敏感信息泄漏/资产风险

设备短暂离手或丢失

威胁手段/表现

手机丢失或离手，且无密码保护

使用短信作为2FA+锁屏显示短信等详情信息

拔卡换机等方式获取2FA或密码找回验证信息

品牌安全

自有官方社交账号安全

威胁手段/表现

账号管理存在盲区导致滥用

账号随离职人员带走或丢失

安全管理机制不足导致账号被盗

非官方社交账号仿冒

威胁手段/表现

账号被他人恶意抢注

相似账户发布虚假或诈骗信息

相似域名/仿冒站点

威胁手段/表现

使用相同前缀不同后缀的站点仿冒官方站点

使用拼写相似的站点仿冒官方站点

利用Punny Code方式仿冒官方站点

邮箱冒用/相似仿冒

威胁手段/表现

未有效设置SPF & DMARC策略导致欺诈邮件

注册相似域名用于发送欺诈邮件

任意邮箱，直接设置发件人姓名发送欺诈邮件

自有域名安全

威胁手段/表现

参考信息安全部分--域名安全

搜索引擎SEO风险

威胁手段/表现

攻击者购买搜索关键字广告位，投放虚假链接

攻击者通过黑帽SEO等手段提升仿冒站点排名

外部合作及举报通道

威胁手段/表现

略

链路及通道安全

机器人刷取接口服务

威胁手段/表现

已失效API接口访问

访问非公开接口

规律性遍历行为

针对脆弱接口的CC攻击

DNS污染/劫持

威胁手段/表现

局域网内定向劫持

近源DNS污染导致访问到仿冒站点

用户端流量劫持插入恶意代码

平台或供应链被黑插入恶意代码

CDN安全

威胁手段/表现

CDN平台漏洞导致前端风险

CDN供应商作恶或被黑

CDN账号管理不当被指向恶意地址

短信通道安全

威胁手段/表现

黑产数据贩卖

冒用平台发送诈骗短信

代理服务器安全

威胁手段/表现

代理服务器作恶或信息泄露

使用代理服务器绕过合规区域性限制检查

业务安全风险

用户注册认证

虚假注册行为

威胁手段/表现

匿名邮箱注册

使用批量注册的邮箱注册账户

使用伪造来源（浏览器指纹、代理池、秒拨等）

虚假KYC认证

威胁手段/表现

利用泄露信息进行认证

利用购买的伪造证件认证

个人使用PS等修图方式伪造证件

人工代注册

黑产买卖账号

威胁手段/表现

代注册后暗网/TG等渠道出售账号

制裁人员注册/认证

威胁手段/表现

略

恶意刷取短信

威胁手段/表现

注册及2FA等短信接口被恶意刷取

电话验证接口被恶意刷取

账户安全

【参考】用户端安全风险--用户端

充提安全

AML （KYA/KYT）

威胁手段/表现

使用多级混币器绕过KYA/KYT策略

姓名匹配规则设计不足导致绕过AML名单限制

虚假证件及证明材料绕过AML限制

充提地址上下游行为风险

威胁手段/表现

上游来源资金汇聚

下游去向多层后汇聚

来源或去向包含混币等行为

多级地址中包含黑名单地址

充提地址属性及类型异常

威胁手段/表现

多层来源未包含中心化地址

链路中包含异常合约地址（诈骗/伪造等）

来源或去向地址中包含无法支持的地址（或合约）类型

异常充提行为

威胁手段/表现

大额充提

大额充提＋算力异常

高频充提或规律性周期充提

额度异常（等额、相近、临界值测试等）

项目方异常解锁

项目方非法增发

假充值风险

威胁手段/表现

ERC20假充值

ERC20撤销方法导致的假充值

EOS/XRP假充值

Omni-USDT假充值

比特币RBF导致的假充值风险

链上回滚风险

威胁手段/表现

主链漏洞导致回滚

双花攻击导致回滚

交易安全

用户误操作风险

威胁手段/表现

输入错误导致资产损失或盘面异常

用户交易行为异常

威胁手段/表现

用户交易对手异常

用户交易对手方过于集中

交易对手方行为异常~参考：交易对手方异常

用户交易量异常

用户摆单价格异常

交易对手方异常

威胁手段/表现

交易对手方注册状态异常

交易对手方登录来源异常

交易对手方登录行为异常

交易对手方交易历史异常

来源及去向异常

威胁手段/表现

充值＋交易＋提币动作异常

地址＋币种＋交易行为异常

OTC 洗钱

威胁手段/表现

略

OTC 诈骗

威胁手段/表现

略

盘面安全

交易价格异常

威胁手段/表现

内外盘价差大

盘面瞬间波动大

交易量异常

威胁手段/表现

小盘交易量激增

交易用户聚集性强

对敲交易

威胁手段/表现

对手单一性强，且登录及注册异常

用户登录或链路异常，行为及频率异常

业务运营/活动

风险用户识别

威胁手段/表现

羊毛用户

沉寂用户异动

内部人员

项目方未报备用户

上币信息管理风险

威胁手段/表现

上币敏感信息管理

项目方铸币等敏感地址信息管理

合约代码安全性

项目方团队风险

锁仓及增发监控与风险识别

内外部相关利益方作恶识别

运营活动奖励

威胁手段/表现

核算规则合理性及风险评估

风险用户后置位发现与处理机制

信息/网络安全风险

办公安全

OWASP/ATT&CK等通用威胁

威胁手段/表现

通用威胁/漏洞参考 OWASP TOP 1O/ATT&CK/ CWE TOP 25

办公网基础设施安全

威胁手段/表现

内网DNS服务终端导致通信故障

内网DNS劫持/污染/欺骗等行为导致内部网络受控

内网DNS权限配置错误导致内部用户获取敏感解析信息

域控、桌管等内部桌面管理系统权限控制不当导致内部作恶

域控、桌管等内部桌面管理系统被黑导致内部电脑受控

内部文件共享或内网云盘权限问题导致信息滥用或病毒传播

其他办公网内部系统风险（财务、IM、文档、wiki、论坛等）

办公网权限风险

威胁手段/表现

内部系统缺少权限管理措施导致任意用户可获取或可操作敏感数据或系统

离职、调转等人事变更的配套权限变更管理不当，导致信息泄露

权限审批及控制措施不严，导致权限设置过大而造成信息泄露或恶意操作行为

账号管理措施及制度不严，导致账号混用或内部盗用

内部系统缺少用户行为审计等措施，导致信息滥用后无法追查

员工被钓鱼攻击

威胁手段/表现

员工邮箱、IM等信息泄露，导致被恶意攻击者定向钓鱼

linkedin、Twitter等社交平台发送恶意链接进行钓鱼

冒充管理员等特殊身份进行邮件钓鱼（链接、附件等）

冒充合作方、记者等身份以IM传播恶意程序

访客网络风险

威胁手段/表现

网络隔离或权限控制问题导致可访问内部资源

办公网设备接入访客网络带来的攻击或病毒等风险

利用访客网络下载占用资源

滥用访客网络访问非法网站、发布非法信息等

终端病毒/后门/勒索等

威胁手段/表现

关键系统或关键数据缺少备份，被勒索病毒感染后难以修复

内部网络隔离或常见威胁端口屏蔽不足，导致蠕虫等病毒内部快速传播

内部网络缺少按部门或权限需求而设立的网络隔离，导致低权限电脑被控后可

向高权限网络渗透

内部网路缺少必要的横向流量监控，导致病毒后门等传播过程无感知

办公设备外带风险

威胁手段/表现

硬件丢失且硬盘无加密、无远程销毁能力，导致数据泄露的风险

DLP、EDR等安全手段建设不足，导致外带设备无法受到有效监测及保护

接入不受控的非安全网络，导致电脑中毒等风险

非办公设备接入风险

威胁手段/表现

接入权限过大，可访问内部敏感系统及敏感数据

接入后内部横向渗透等恶意行为，导致内网被控

设备自身带有病毒等恶意程序，接入后感染内部网络

内网横向渗透

威胁手段/表现

办公内网定向或批量端口扫描

办公内网敏感端口信息探测（NBT、WMI、RPC等）

办公内网内部系统及电脑的漏洞扫描或高频访问测试

员工办公电脑违规操作

威胁手段/表现

本地开发测试时，向内网开放HTTP/HTTPS/DB等服务

未授权情況下，将内部办公电脑映射至互联网

访问恶意站点或其他命令禁止的站点

未授权情况下，使用第三方云笔记、云盘等服务存储公司敏感数据

内部私搭WiFi 热点

未授权带领外部人员接入办公内网

供应链安全

威胁手段/表现

采购了来源不明的硬件设备或配件

办公网络出现污染或劫持等

使用了含有恶意程序的商用破解软件

邮件安全

威胁手段/表现

邮件命名规则导致的邮箱地址易猜测

对非必要人员允许接收外域名邮件导致钓鱼

邮件反垃圾配置不当导致垃圾邮件无效过滤

哑终端安全

威胁手段/表现

打印机（日志敏感信息、访问控制、物理安全）

摄像头（访问控制、备份安全、对向敏感区域）

网络门禁（访问控制、添加权限、任意解锁）

其他物联网设备，如，咖啡机、远控插座等

补丁管理

威胁手段/表现

系统补丁管理机制不足导致漏洞修复不及时

缺少第三方软件漏洞（如，Adobe、Chrome等）的管理手段

内部系统（如，财务、wiki、bbs等）漏洞管理机制缺失

第三方组件漏洞管理机制不足或依赖关系不清导致难以发现与修复

门禁等物理安全

威胁手段/表现

主要入口、关键部门的门禁及监控覆盖不足

门禁及监控自身存在漏洞，或安全管理意识不足导致被系统被控

监控备份管理机制不足，导致备份时长不足或备份丢失

关键入口（如，机房）缺少监控覆盖，或备份机制存在问题

关键入口（如，机房）门禁系统缺少权限隔离，导致未授权用户访问

敏感信息泄露

威胁手段/表现

敏感信息所处位置或所处系统等信息评估不清，导致敏感信息泄露无感知

2、各类信息分级不清，信息存储混乱或权限错配，导致低权限用户获取高权限敏感信息

大量敏感信息在个人设备上存储，且缺少必要的管理及监控手段，员工随意散

播敏感数据无感知

生产服务安全

OWASP/ATT&CK等通用威胁

威胁手段/表现

通用威胁/漏洞参考 OWASP TOP 10 / ATT&CK /CWE TOP 25

业务逻辑安全性

威胁手段/表现

略

内部接口权限及调用安全

威胁手段/表现

略

三方业务对接安全性

威胁手段/表现

网络层控制不足，导致访问权限过大

应用层访问控制不足，导致获取敏感数据或链接并发过大

接口直接暴露于互联网

服务应用权限管理

威胁手段/表现

管控不足，导致可访问权限过多或过大，被滥用

权限管理相关系统或模块安全性不足，导致系统被黑

关键接口未进行必要的保护（如，签名），导致重放或非授权访问等风险

供应链安全

威胁手段/表现

Pypi、NPM等源被污染或调用了虚假项目

使用的第三方库被植入恶意代码

使用的第三方IDE等软件被植入恶意代码

线上引用的组件供应商被黑，导致源头被替换

网络安全管理

威胁手段/表现

上线缺少有效的安全基线控制

对外（互联网）开放暴露端口及服务缺少控制手段与感知能力

对内（业务/办公网之间）开放暴露端口及服务缺少控制手段与感知能力

安全域划分及管理

威胁手段/表现

生产网内部未按照业务或技术逻辑划分网络安全域

安全域之间的访问策略控制不足，导致内部随意横向互通

安全域内及安全域间通路日志及监控策略不足，导致横向无感知

网络设备安全性

威胁手段/表现

网络设备可访问通路暴露过多、过大导致风险

网络设备存在漏洞导致设备被黑

网络设备授权访问等控制措施不足，导致权限滥用

对网络设备配置监控不足，导致误操作或恶意操作后无感知

生产网配置安全管理

威胁手段/表现

缺少统一安全的配置管理机制

配置管理权限控制不足导致敏感配置信息泄露

配置管理过程中存储大量无加密敏感数据

生产网敏感信息管理

威胁手段/表现

账号信息管理及人员备份机制

网络拓扑信息更新及安全管理

安全策略运营维护及保密

CMDB等线上信息管理关键系统的安全保障

运维等关键电脑及设备安全

威胁手段/表现

日常安全保护及隔离机制不足导致被黑、被控

磁盘未加密，导致物理丢失后信息泄露

建立远程抹除机制，丢失后可远程抹除

其他认证相关硬件的丢失报备及紧急失效机制，如，yubikey、otp设备

域名安全

域名托管账号安全

威胁手段/表现

域名管理账号及管理人等基础信息泄露

域名管理账号密码及认证等敏感信息泄露

账号存在单点管理问题，导致单人作恶或离职后无法使用等风险

域名解析安全

威胁手段/表现

使用了不可靠的DNS

未启用DNSSEC等必要的安全配置

解析配置不当导致内网解析暴露在互联网

权限配置不当导致解析记录大规模暴露

域名供应商安全

威胁手段/表现

域名供应商可靠性不足

供应商自身安全性保障不足

供应商内部权限控制不当，导致供应商被黑后域名被接管或转移

供应商内部流程管控不严，导致电话或邮件社工、欺骗等手段授管或转移域名

供应商内部作恶导致域名被篡改、转移等

域名续费管理

威胁手段/表现

域名续费管理机制不足，导致到期未能续费而被抢注

因供应商无法提供必要的到期保护机制而存在到期丢失风险

到期不再使用的域名对外市场宣发不足，导致被他人注册后滥用

相似域名仿冒

威胁手段/表现

未购买不同后缀的域名导致他人抢注

购买时不同后缀域名已被他人购买且未用于经营

使用相似字符的域名仿冒

利用punny code 问题仿冒高相似度域名

数据安全

数据安全管理制度

威胁手段/表现

数据分级定义及对应管理机制定义

业务运营地区数据管理制度与当地数据安全管理相关法律的一致性

管理制度对内宣传、推广及执行落地

生产通信链路安全

威胁手段/表现

通信链路未采用必要的加密传输，导致数据被劫持或篡改

通信未进行必要的权限等控制，导致数据被滥用

访问线上数据库或大数据平台的链路过于分散，导致管理上存在缺口

数据库安全

威胁手段/表现

直接使用高权限账号链接或访问

访问数据库的服务未按业务进行账号及权限拆分，使用统一账号链接

访问路径未做控制，导致办公或生产网内任意源可访问数据库

非必要服务对数据库有insert、update等高危操作

后台管理系统数据泄漏风险

威胁手段/表现

后台管理系统上线未经安全审计，安全性不足导致被黑

相关用户权限控制不足，导致越权滥用，获取敏感数据

账户安全保障机制不足，导致账户被盗，盗用敏感数据

缺少安全控制或感知手段，内部作恶或误操作无法感知

系统中用户敏感信息未做必要的脱敏或加密处理，导致合规风险

大数据平台数据泄漏风险

威胁手段/表现

敏感信息未做任何保护机制，如，加密或脱敏处理

权限管理流程不足，导致权限开放过多或个别权限开放过大

员工终端数据泄露风险

威胁手段/表现

缺少DLP等控制手段，内部敏感信息对外发送无法控制或感知

缺少磁盘加密及远程抹除机制，设备丢失后导致信息可被导出

资产安全风险

用户资产安全

【参考】用户端安全风险

热钱包安全风险

私钥生成方式风险评估及控制

威胁手段/表现

不同业务场景下HD及非HD钱包的安全风险

不同业务场景下HSM及非HSM钱包的安全风险

不同业务场景下私钥分片机制（如，Shamir等）的安全风险

随机数算法安全风险

私钥生成过程风险

威胁手段/表现

生成过程中存在单人接触完整私钥环节，存在作恶风险

生成程序未经安全测试验证，导致生成过程中被替换或存在漏洞

私钥存储及管理

威胁手段/表现

生成至存管过程管控不足，存在单人接触私钥环节，有作恶风险

线上私钥集中存储、集中签名，存在单点被黑后大面积泄露风险

生成至存管过程验证不足，导致私钥损坏或对应出错，导致签名不可用

私钥灾备及恢复

威胁手段/表现

私钥缺少安全有效的备份机制，导致线上私钥损毁丢失后无法恢复

缺少有效的巡检机制，导致私钥备份丢失或损坏后无感知

缺少有效的演练机制，导致私钥恢复过程过慢或恢复出错

热钱包地址管理

威胁手段/表现

热钱包地址未按用途有效分配管理，各类地址混用导致账目错误

热钱包地址空投管理（不同空投机制不同～需区别管理）

热钱包代码安全性

威胁手段/表现

热钱包程序处理私钥等敏感信息时存在缺陷，导致资产损失

热钱包对异常错误判断及处理机制存在不足，导致资产损失

热钱包程序输出（如，日志）处理异常，导致敏感信息泄露

热钱包程序输入过滤处理不足，插入恶意代码，产生资产损失

热钱包签名机及上下游组件安全

威胁手段/表现

组件间信任及认证机制存在缺陷，导致绕过业务逻辑的非法调用

组件间数据传输及调用保护机制不足，导致敏感信息泄露

业务流程篡改风险

威胁手段/表现

热钱包执行流程被篡改或绕过，导致资损

业务流程异常，导致账目错误，难以定位

热钱包流动性风险

威胁手段/表现

日常流动性管理

一币多链流动性管理风险

token合约风险

威胁手段/表现

合约常见漏洞

合约权限机制存在风险

锁仓/增发等机制缺少控制

主链安全风险

威胁手段/表现

略

充值上账安全

威胁手段/表现

上账次数过低，导致回滚时资产损失

误充上账处理流程出错，导致资产风险

平台人工上账被滥用，导致内部作恶或资产损失

交易构建风险

威胁手段/表现

手续费、地址、nonce等关键信息检查不足导致交易错误

目标地址AML/KYC风险

地址格式检查或用户交互提示不足，导致用户操作错误、资产损失

用户余额、钱包余额检查不充分，提币超过余额、造成资产损失或上链失败

误充值安全处置机制

威胁手段/表现

资产归属验证及身份验证不足导致冒领

误充值合约自身安全性评估

评估资产是否可移动

原路退回目标地址安全性及属性评估

退回手续费

手续费管理

威胁手段/表现

交易手续费与提笔手续费（盈利时）地址混用导致的记账异常

手续费地址与其他系统地址混用导致的记账异常

手续费使用币种错误导致损失

手续费计算错误或链上费用激增导致卡币后缺少紧急处理机制

钱包运维风险

威胁手段/表现

运维权限过大或错配导致的作恶风险

关键操作缺少校验及回退机制，由误操作而引发的风险；

运维环境或设备被黑客控制，导致操作过程中的风险；

运维权限及设备备份、人员入离调转等安全控制措施不足，导致的风险；

冷钱包安全风险

多签钱包风险评估及控制

威胁手段/表现

不同场景下多签算法的安全风险评估

不同业务场景下HD及非HD钱包的安全风险评估

随机数算法安全风险

私钥生成过程风险

威胁手段/表现

生成过程中存在单人接触一把以上私钥导致的潜在隐患

生成过程中缺少有效性验证，导致后期的不可用风险

私钥存储及使用

威胁手段/表现

私钥存储加密及其他保护机制不足

多把私钥集中存储，出现丢失或损毁时导致多把私钥不可用

签名过程缺乏隔离机制，导致私钥交叉泄露

私钥灾备及恢复

威胁手段/表现

缺少有效的异地备份机制，导致主私钥失效后资产不可用

备份传输转移过程保护不足，存在丢失或损毁等风险

缺少巡检机制（主备一致性、软硬件可用性、人员风险等）

日常演练不充分，备份恢复过程出错或流程过长

冷钱包代码安全性

威胁手段/表现

代码仓库权限控制不足导致代码泄露

代码仓库权限配置错误导致被人恶意插入代码

代码缺少安全审计导致带漏洞发布

供应链安全

冷钱包编译及部署

威胁手段/表现

编译过程中被恶意篡改代码

部署过程保障不严格，导致部署了非预期的程序

物理环境安全性

威胁手段/表现

（注：通用类，非业务场景相关）

物理环境中有监视监听设备导致被窃取私密信息

缺少抗干扰能力导致使用强磁等设备破坏相关硬件

外部门禁采用了易破解或易复制的认证系统

外部门禁采用了断电即开等不安全的降级方式

外部摄像头等监视设备权限管理不严格导致视频泄露或被恶意抹除

监视监听门禁等安防设施配置不当导致连接了不安全的内网或互联网

非授权人员知晓敏感操作环境的具体位置，或非授权人员可随意进入

硬件及电脑安全性

威胁手段/表现

硬件设备采购过程中被替换或植入后门的风险

硬件设备入库至正式启用前，保管安全性不足导致被人替换或植入后门

操作相关电脑安装软件、网络使用及未授权硬件（USB等）使用等风险

操作规范及流程安全性

威胁手段/表现

流程管控缺少必要的二次检查及人员操作备份机制

流程中缺少非利益相关方的第三方独立视角进行独立审查

冷钱包可用性风险

威胁手段/表现

HSM、电脑、智能芯片、USB设备等物理设备的可用性

电池、电源损坏而间接导致的可用性问题

保险柜、门禁等防护设备失灵或认证方式丢失导致的开启失败

冷钱包流动性风险

威胁手段/表现

一币多链配资错误导致的流动性风险

小币种超卖导致的流动性风险

预签交易管理

威胁手段/表现

略

软硬件销毁管理机制

威胁手段/表现

销毁前检查机制及流程不充分，导致销毁了错误的软硬件

销毁设备覆盖不完整，或相关存储介质销毁不彻底、可被恢复

销毁过程可审查不足，缺少销毁有效性的验证；

紧急响应能力管理

威胁手段/表现

略

财务数字资产管理风险

日常对账管理

威胁手段/表现

链上充提与业务充提不符导致的用户资产损失

手续费等非直接提币行为的对账计算不足导致的公司资产损失风险

头寸管理

威胁手段/表现

数据计算错误导致超卖

市价抛售导致盘面异常

链上资产安全管理

威胁手段/表现

标的项目存在风险导致资金无法取回或被盗

滑点等设置异常导致损失

项目及资产缺少风险监测机制，导致风险时无法快速止损

外平台账号安全管理

威胁手段/表现

登录认证方式统一管理导致的单人作恶风险

被恶意添加AP或滥用AP/导致的资产损失

监控或权限不足导致账号内资产被恶意买卖为非制定币种

平台内资产监控不足导致出现资产波动而无法及时有效的止盈止损

账号内资产充提控制不足导致的资产损失

使用了存在风险的平台而导致资产损失（跑路、恶意冻结、被黑等）

使用了存在风险的KYC而导致的资产损失（个人KYC或制裁KYC等）

用户账目异常处理

威胁手段/表现

用户误充值识别不当导致手工上账错误

链上小额粉尘充值处理不当导致用户账目计算错误

未认证合约或假合约识别不充分导致用户账目计算错误

非法调用方法识别处理错误导致用户充提记录异常

返佣/活动奖励管理

威胁手段/表现

计算逻辑错误导致奖励发放错误

以单时间点快照为基准计算奖励，用户快速充提/交易获取奖励

风险/羊毛用户：业务安全--业务运营/活动--风险用户识别

高风险岗位

冷钱包操作人

人员互备机制

威胁手段/表现

人员失联或休假等原因导致钱包不可用

遗失、遗忘设备或密码导致钱包不可用

差旅/休假管理

威胁手段/表现

休假无人知晓导致钱包响应不及时

安排不当导致统一岗位主备人同时差旅或休假

定期自查机制

威胁手段/表现

长期未操作导致密码登关键信息遗忘

设备长期未启用导致损坏无法使用

定期安全培训

威胁手段/表现

略

增强保密协议

威胁手段/表现

略

热钱包发布及运维

专用硬件管理不善导致被控制

威胁手段/表现

关键发布节点使用独立硬件

硬件权限及设备分离保管

可使用纯净还原系统替代方案

权限集中导致风险

威胁手段/表现

关键组件权限分离控制

人员互备机制不足导致发布受限

威胁手段/表现

关键发布岗位缺少备份机制，单人休假或差旅可能导致上线卡点，影响业务

关键组件拆分维护

威胁手段/表现

避免单点数据验证，且多点验证来源应多人分离维护

热钱包系统及流程与其他业务混用

威胁手段/表现

热钱包系统及流程应独立设立，如，git仓库、发布系统等

财务（数字资产相关岗）

网络隔离不足

威胁手段/表现

财务办公网络通过VLAN等手段与其他办公网隔离

安全策略独立管理

威胁手段/表现

财务办公网及终端应设置独立策略和监控预警机制