Cam kết bảo mật tài sản số của bạn!

Quản lý tài sản riêng

Tài sản của khách hàng, bao gồm Bitcoin, được phân tách rõ ràng với tài sản riêng của T-Rex. Mỗi địa chỉ ví (address) của khách hàng là duy nhất để đảm bảo tài sản của khách hàng có thể được tách riêng với tài sản của T-Rex.

Chống virus và các cuộc tấn công

T-Rex sử dụng nền tảng linux Redhat được cung cấp bởi AWS với phiên bản được cập nhật liên tục từ nhà cung cấp, đảm bảo các vấn đề về virus và các bản vá lỗi. Bên cạnh đó, T-Rex cũng sử dụng Symantec Norton như công cụ chính để kiểm soát virus/malware. Để bảo vệ chống hack, T-Rex kiểm tra các lỗ hổng bảo mật bằng cách thực hiện các cuộc tấn công khác nhau hàng ngàn lần trên cơ sở định kỳ. Khi các loại virus hoặc phương pháp hack mới được giới thiệu, T-Rex đảm bảo thường xuyên cập nhật bảo mật của nó với sự cân nhắc cẩn thận đối với rủi ro.

Xác minh danh tính

I. Bằng chứng xác minh danh tính (Họ và tên, địa chỉ và ngày sinh)

T-Rex xác nhận danh tính khách hàng bằng cách yêu cầu khách hàng tải lên hình ảnh bằng chứng nhận dạng chính thức của khách hàng (ví dụ: bằng lái xe hoặc hộ chiếu).

II. Xác minh danh tính cho những thay đổi chính

Xác minh danh tính được T-Rex được thực hiện nhiều lần. Thông qua nhiều xác minh danh tính, T-Rex nỗ lực ngăn chặn các cuộc tấn công giả mạo của khách hàng bởi các bên thứ ba. Chúng tôi đánh giá cao sự hợp tác của khách hàng trong những vấn đề này.

III. Xác thực Google (Google Authenticator)

Xác minh danh tính cũng được thực hiện thông qua liên kết đến tài khoản Google của khách hàng.

IV. Xác nhận tài khoản ngân hàng (Tên ngân hàng và chi nhánh, loại tài khoản, số tài khoản và tên đăng ký ngân hàng)

Khi khách hàng đăng ký thông tin tài khoản ngân hàng, T-Rex sẽ tiến hành quy trình xác nhận tài khoản ngân hàng để xác minh tính hợp lệ của tài khoản ngân hàng và thông tin tài khoản liên quan.

V. Xác thực điện thoại di động

Xác minh danh tính cũng được thực hiện qua điện thoại di động thông qua SMS. Xác thực SMS là cách xác minh danh tính cá nhân bằng cách gửi một mã duy nhất đến số điện thoại di động đã đăng ký của khách hàng. Vì chỉ có một số điện thoại di động được áp dụng cho thiết bị đầu cuối điện thoại di động, T-Rex có thể xác định chủ sở hữu của điện thoại di động và xác minh danh tính hoàn chỉnh.

Lưu trữ tài sản

I. Đa chữ ký

Multi-sig là biện pháp bảo mật Bitcoin mới nhất được thiết kế để đảm bảo các giao dịch Bitcoin của bạn được an toàn. Không giống như một địa chỉ Bitcoin thông thường, địa chỉ Bitcoin nhiều chữ ký yêu cầu hai hoặc nhiều chữ ký riêng biệt để gửi Bitcoin. Số chữ ký được yêu cầu được biểu thị bằng tỷ lệ của tổng số chữ ký có thể có – ví dụ: 2 trong số 3 có nghĩa là 2 chữ ký được yêu cầu trong số 3 chữ ký trước khi Bitcoin có thể được gửi.
Multisig cho phép ví cực kỳ an toàn, vì ngay cả khi khóa riêng bị rò rỉ hoặc bị hack, trừ khi tất cả các khóa cần thiết đã bị xâm phạm, không có coin nào có thể được phát hành từ ví. Rất khó để kẻ tấn công xâm nhập 2 hoặc nhiều nền tảng bảo mật cao hơn trong một khoảng thời gian ngắn.
Lưu trữ một trong những địa chỉ được yêu cầu ở một vị trí không được kết nối với internet cung cấp mức độ bảo vệ và bảo mật cao hơn nữa.

II. Hơn 80% bitcoin được lưu trữ trong ví lạnh

Để bảo vệ tiền của khách hàng, 80% bitcoin sở hữu T-Rex trở lên được lưu trữ trong ví lạnh được cách ly với mạng. Ví lạnh được bảo vệ bởi một số khóa vật lý cũng như hệ thống giám sát 24 giờ mạnh mẽ.

Bảo vệ hệ thống nội bộ bằng tường lửa

Tường lửa được sử dụng để bảo vệ mạng và máy tính chống lại các cuộc tấn công và truy cập trái phép từ bên ngoài mạng nội bộ. Chức năng cơ bản của tường lửa là ngăn chặn truy cập bên ngoài trái phép. Khi bạn sử dụng tường lửa, bạn có thể giới hạn giao tiếp với các dịch vụ đang chạy trên máy chủ. Ví dụ: quyền truy cập vào dịch vụ chia sẻ tệp nội bộ của một tổ chức có thể bị giới hạn đối với người dùng trong tổ chức. Bằng cách giới hạn quyền truy cập từ Internet, bạn có thể ngăn chặn truy cập trái phép vào các dịch vụ đó.
Chức năng lọc: Kiểm tra gói được truyền, chỉ cho phép các gói được phép trước vượt qua và chặn tất cả các gói khác. Chức năng chuyển đổi địa chỉ (NAT): Đây là chức năng ghi lại nguồn gói và địa chỉ đích. Sự hiện diện của máy khách nội bộ có thể được ẩn khỏi máy chủ của bên kia để liên lạc. Vì không thể truy cập từ bên ngoài, bảo mật của máy chủ nội bộ được tăng cường.
Điều khiển từ xa, chức năng giám sát: Đây là tính năng cho phép tường lửa được thiết lập hoặc kiểm tra nhật ký từ một máy tính khác.
T-Rex sử dụng Firewall của AWS/Cloudflare bảo vệ lớp ngoài cùng công nghệ SSL Offload. Sử dụng AWS firewall manager cùng các rules/policies để hạn chế tối đa các truy cập trái phép.

Giám sát và cân bằng tải (WAF)

Tường lửa ứng dụng web được thiết kế đặc biệt để bảo vệ các ứng dụng web. WAF có thể điều tra nội dung được gửi đến các ứng dụng web mà tường lửa không thể. Ví dụ, một kiểu tấn công SQL, SQL thao túng cơ sở dữ liệu từ kẻ tấn công bên ngoài đã được đưa vào nội dung của ứng dụng web, WAF có thể thực hiện các biện pháp như chặn liên lạc.
Chức năng kiểm tra: Kiểm tra giao tiếp HTTP dựa trên mẫu phát hiện
Chức năng kiểm tra là khả năng kiểm tra yêu cầu HTTP và phản hồi HTTP trong giao tiếp HTTP dựa trên mẫu phát hiện được xác định. Mẫu phát hiện được xác định trong chức năng kiểm tra bao gồm “danh sách trắng” và “danh sách đen”.
Nếu giao tiếp HTTP được kiểm tra bằng danh sách trắng và nội dung của giao tiếp HTTP không khớp với giá trị hoặc mẫu đã chỉ định, WAF sẽ chỉ định giao tiếp HTTP là trái phép.
Nếu giao tiếp HTTP được kiểm tra bằng danh sách đen và nội dung của giao tiếp HTTP khớp với giá trị hoặc mẫu không hợp lệ, WAF sẽ chỉ định giao tiếp HTTP là trái phép.
Chức năng xử lý: Chạy quy trình xử lý giao tiếp HTTP Chức năng xử lý là khả năng xử lý các giao tiếp HTTP trái phép được phát hiện thông qua chức năng kiểm tra và tương tự, theo một quy trình được xác định. Ba phương pháp có thể được xác định là xử lý thông qua, xử lý lỗi và chặn.
Xử lý thông qua là một cách để xử lý giao tiếp HTTP trái phép, hoặc gửi nó đến một trang web. Phương pháp này thường được sử dụng trong các trường hợp như kiểm tra giao tiếp HTTP tại thời điểm thực hiện WAF hoặc ghi lại giao tiếp HTTP trái phép được phát hiện.
Xử lý lỗi đề cập đến quá trình WAF tạo phản hồi lỗi và gửi phản hồi lỗi đến người dùng hoặc trang web, thay vì gửi thông tin liên lạc HTTP trái phép được phát hiện.
Chặn liên quan đến phương pháp cố ý loại bỏ các liên lạc HTTP trái phép đã được phát hiện. Khi WAF loại bỏ giao tiếp HTTP, một trong các phương pháp sau được sử dụng: Gửi phản hồi ngắt kết nối giao tiếp HTTP đến người dùng hoặc trang web hoặc không gửi gì để phản hồi giao tiếp HTTP.
Chức năng log: Ghi lại các hoạt động của hệ thống và kể cả WAF Hàm nhật ký ghi lại các giao tiếp HTTP trái phép được phát hiện thông qua chức năng kiểm tra và hoạt động WAF. Nói chung, nhật ký WAF được ghi lại trong một tệp hoặc cơ sở dữ liệu. Có hai loại nhật ký: Bản ghi thông tin liên lạc HTTP trái phép và cách xử lý của chúng và bản ghi hoạt động WAF và thông tin lỗi. Từ bản ghi này, có thể kiểm tra phát hiện và số lượng sự kiện xử lý đối với giao tiếp HTTP trái phép và loại bỏ nỗ lực liên quan đến việc cập nhật các mẫu phát hiện.T-REX sử dụng WAF và CloudWatch của Amazon Webservice cùng các VPC để đảm bảo việc bảo mật và giao tiếp giữa các phân vùng hệ thống.

Mã hóa dữ liệu

Giao tiếp SSL

Để bảo vệ thông tin cá nhân của khách hàng, T-Rex mã hóa tất cả các giao tiếp dữ liệu liên quan đến khách hàng.

T-Rex sử dụng công nghệ mã hóa mạnh hơn các tổ chức tài chính lớn trong giao tiếp với khách hàng. TLS1.2 được áp dụng cho tất cả các kết nối tới T-Rex, được mã hóa và xác thực bằng AES_128_GCM. ECDHE_RSA được sử dụng làm cơ chế trao đổi khóa. Thông qua chứng chỉ máy chủ SSL DigiCert

T-Rex đã được chấp nhận chứng chỉ máy chủ SSL được cấp từ DigiCert.

Thông qua EV cấp độ cao nhất của chứng chỉ máy chủ SSL DigiCert.

EV là viết tắt của Xác thực mở rộng và là những gì xác thực rằng tổ chức được mô tả trong chứng chỉ tồn tại về mặt pháp lý và vật lý và tổ chức này là chủ sở hữu của miền được mô tả trong chứng chỉ. EV+SSL có hướng dẫn xác thực các tiêu chuẩn toàn cầu và kiểm tra chứng chỉ máy chủ nghiêm ngặt nhất. Nếu một trang web có EV+SSL, thanh địa chỉ của nó sẽ có màu xanh và tổ chức kinh doanh sẽ xuất hiện trên trang web. (※ Các trình duyệt như Internet Explorer 7.0 trở lên, Firefox, Safari, Google Chrome). Áp dụng SHA-2 (SHA-256)

SHA, một tiêu chuẩn được sử dụng bởi chính phủ Hoa Kỳ, là một hàm hash có độ an toàn cao (phương pháp tóm tắt nén dữ liệu). Có thể xác minh sự hiện diện hay vắng mặt của việc giả mạo dữ liệu bằng cách so sánh các giá trị hash cho cả truyền và gửi các giá trị tóm tắt dữ liệu. Kể từ thời điểm chứng nhận máy chủ SSL D7, các hàm hash được gọi là SHA-1 và SHA-2 là các tiêu chuẩn chính. Cho đến ngày nay, nhiều tổ chức tài chính đã áp dụng SHA1 làm công nghệ mã hóa internet của họ. Tuy nhiên, trong những năm gần đây, các lỗ hổng bảo mật trong SHA-1 đã được xác định. Nếu các lỗ hổng của SHA bị kẻ tấn công lợi dụng, kẻ tấn công có thể tạo ra một chứng chỉ khác có cùng chữ ký với chứng chỉ gốc – điều này có nghĩa là kẻ tấn công có thể vận hành trang web của bên thứ ba giả dạng trang web thật. Trong trường hợp của SHA-1, theo lý thuyết, có khả năng 1/280 rằng lỗ hổng này có thể bị lộ. SHA-2, mà T-Rex đã áp dụng, vượt qua sức mạnh bảo mật của SHA-1, làm giảm khả năng lỗ hổng bị lộ ra 1/2128. Con số này, xấp xỉ 340 x 1036, khiến cho lỗ hổng trong SHA-2 không thể có ý nghĩa thực tế. Giao thức nội bộ

T-Rex sử dụng TLS 1.2 /IPSEC và mật khẩu RPC trên nền tảng Dubbo để liên lạc nội bộ.
Mã hóa cơ sở dữ liệu thông tin khách hàng
Tất cả thông tin khách hàng được lưu trữ ở dạng mã hóa 2 lớp theo tiêu chuẩn ngân hàng. Master key (Chìa khoá chính mã hoá) được chia làm 2 phần và nắm giữ bởi 2 người đảm bảo sự toàn vẹn dữ liệu. T-Rex cam kết không cung cấp API cho bất kỳ đối tác thứ 3 nào có thể xem hay can thiệp dữ liệu.

Máy chủ DNS IP Anycast

Trong giao tiếp thông qua IP Anycast, một địa chỉ IP được gán cho nhiều thiết bị trên Internet đồng thời và được chia sẻ. Trong tất cả các node, bằng cách vận hành cùng một dịch vụ trong địa chỉ dùng chung, thiết lập sao cho cùng một dịch vụ được cung cấp cho dù xử lý node nào. Bằng cách triển khai IP Anycast, có thể phân phối các yêu cầu đến nhiều máy chủ và nhiều địa điểm và dịch vụ có thể được bảo vệ khỏi các cuộc tấn công DoS (Từ chối dịch vụ) và DDoS (Từ chối dịch vụ phân tán). Ví dụ, một cuộc tấn công DoS từ một nơi được định vị vào mạng node gần nhất để các node khác không bị ảnh hưởng. Ngoài ra, vì các cuộc tấn công DDoS được phân phối trên nhiều node, các hiệu ứng có thể bị triệt tiêu. Do đó, bằng cách triển khai IP Anycast, có thể cải thiện hiệu suất và khả năng phục hồi của máy chủ DNS. T-Rex sử dụng nhiều lớp bảo mật để bảo vệ chống lại các cuộc tấn công DDoS.Bên cạnh đó, T-REX còn sử dụng Cloudflare như lớp bảo vệ ban đầu cho toàn bộ hệ thống.