一、19 亿美元缺口为何仍在扩大?
据区块链分析公司 Chainalysis 报告,仅在 2022 上半年,全球加密交易所与 DeFi 项目被黑客卷走的数字资产就超过 19 亿美元,同比激增 60%。
- 最著名的 Axie Infinity 区块链遭袭,单笔损失 6.2 亿美元
- 多数漏洞集中在 私钥管理、智能合约 与 应用层接口
- 资安评估不到位、过度依赖内部测试,是事故频发的共性原因
当交易所争相跑马圈地,用户却被迫为「高风险」买单。XREX 正是在这样的背景下,主动把自己推到英国 NCC Group 的显微镜下——以一场「鸡蛋里挑骨头」的渗透测试,证明其对「零重大风险」的承诺不是口号,而是日常守则。
二、什么是渗透测试?为何选 NCC Group?
渗透测试(penetration test)是一种受控的黑客模拟攻击。外部顶尖白帽黑客在给定范围内,尝试以各种方法入侵系统、窃取数据、锁定或转移资产,最终提供可执行的修复方案。
- NCC Group 专攻高端金融与政府系统的安全评估
- 拥有超过 25 年的加密资产安全审计经验
- PCI-DSS、SOX、GDPR 等多项国际合规标准同步交叉
XREX 安全长 Sun Huang 表示:
“我们请 NCC Group 来,不是在交作业,而是要做一次放大镜检查。他们不仅找不到重大漏洞,也找不到我们未知的隐患,这才叫真正及格。”
三、XREX 的三重防御:纵深 + 红队 + 合规
纵深防御(Defense-in-Depth)
- 客户端—HTTPS/SSL 双向认证,TLSv1.3 全段加密
- 网络层—多节点 DDoS 防护、AWS Shield Advanced+自建云
- 应用层—MFA 强制开启、零信任围栏、动态会话失效
红队演练(Red-Team Drill)
- 每季度做一次真实攻击脚本演练
- 剧本覆盖:社交工程、钓鱼、供应链污染、冷钱包暴破
- 失败的攻击同样被记录,用于 威胁情报库 更新
国际合规矩阵(Compliance Grid)
- ISO/IEC 27001:2025 年 8 月已获认证
- AML/CTF:美国 FinCEN、立陶宛 FCIS、爱沙尼亚 FIU 全面登记
- 目前正申请 新加坡 MPI(Main Payment Institution) 执照
整场渗透测试被安排在正常迭代周期内,既要短期内修复致命漏洞,也不能延误产品发布。工程团队用 4 周完成整改,最终赢得“零重大风险”评级。
四、工程师亲述测试幕后故事
主导此次项目的资安工程师 Wolf Chan 透露:
- 最难的是跨部门沟通——R&D、风控、客服、法务都要同步
- 修复窗口被压缩到 午夜 0:00–4:00,测试不影响午盘现货交易
- 每条 代码审计 必须同时通过内部 CI/CD 与外部 NCC Group 双重签字
他总结:“真正的黑客不会等你代码上线才来找茬,提前暴露风险是唯一出路。”
五、用户能得到哪些实际好处?
在交易所格局瞬息万变、跑路暴雷此起彼伏的今天,「资金安全」比任何技术指标都更打动人心。
- 资产100 % 离线冷存储,10 亿新台币以上投保冷钱包保险
- 每周一发布的 资产储备证明报告,Merkle Tree 可查哈希
- 8*24 中文、英文、越南语多语言客服,30s 内响应
未来,用户还将在 APP 内看到由 第三方法律事务所 认证的「安全认证」按钮,一键查看最新渗透报告摘要。
六、FAQ:你最关心的 6 个问题一次解答
Q1:渗透测试多久做一次?会持续吗?
A:至少每年一次外部渗透测试,红队演练则每季度一次。每次测试后官方会发布摘要,透明公开。
Q2:通过测试后还会被黑客攻陷吗?
A:任何系统都不能承诺 100 % 绝对安全,但「零重大风险」评级意味着所有已知的、可造成高影响或高机率的攻击路径已被关闭,后续还会持续监控零日漏洞。
Q3:个人投资者如何检查自己账户安全?
A:在 XREX APP →「安全中心」→「安全体检」,一键核对绑定邮箱、手机号、谷歌验证器状态;及格分需 ≥ 90 分,否则系统强制提升安全措施。
Q4:冷钱包真的不会连网吗?
A:冷钱包私钥被保存在银行级 HSM 模块,且通过 空中隔网(air-gapped) 签名流程完成任何提币。任何尝试联网都会被硬件自毁保护机制触发。
Q5:我去哪里可以下载渗透测试报告?
A:完整技术细节出于安全考虑只向监管机关和保险方披露。用户可在 公告→安全披露 查看「脱敏版」的中文摘要。
Q6:NCC Group 以后会不会自己黑我们?
A:渗透测试合约中附带 双向保密条款 与「不可利用漏洞」附加条款,并受到严格的英国法律约束,打消此类顾虑。
👉 还在担心资金安全?7 月 31 日前新用户「新台币提币零手续费」限时体验,点此抢先一步!
七、618 字读懂政策红包:7 月底三大调整
- 调整一 新用户「提币」与「BitCheck」须提交额外风控问卷后方可开通,旧用户无影响。
- 调整二 远东商业银行新户入金额度分级——31 天内单笔 10 万新台币上限;满足交易量后次月自动升级。
- 调整三 新台币交易对零手续费 从 7 月 11 日起全面开放至年底。500 元新台币就能分笔建仓比特币,手续费=0。
官方指出:“调整并非关门,而是用政策降低入场门槛,用风控堵住洗钱漏洞。”
八、给准备入手加密资产的新手 3 条安全建议
- 交易所优先选渗透报告公开、保险齐全的平台
- 启用双重 MFA(谷歌验证器 + 动态口令 UKey)
- 将收益 50 % 存入硬件钱包,平台热钱包不超过三个月的生活支出额度
加密世界最不缺的就是「战争迷雾」。当不确定性成为主旋律,主动用外部最高级别测试来背书,让用户真正看见 1 与 0 背后的透明与担当,或许才是打动人心的最佳注脚。