隨著區塊鏈技術普及,數字貨幣漸漸走進大眾視野,各種“錢包”也如雨後春筍般冒出來,但是這些錢包的安全性卻令人擔心。
日前,在中國計算機學會主辦的青年精英論壇上,360集團信息安全部發布《數字貨幣錢包安全白皮書》(簡稱《白皮書》)。《白皮書》稱,目前,市場上最為主流的近20多款錢包八成存在安全隱患,加強對錢包的安全審計刻不容緩。
“近期,我們發現國外某知名錢包APP存在加密存儲漏洞,該錢包APP在第一次運行時,默認為用戶創建一個新錢包並將錢包文件未加密存儲在系統本地,攻擊者可讀取存儲的錢包文件,通過對錢包應用逆向分析等技術手段,還原該錢包的算法邏輯,並由此直接恢復出用戶的助記詞以及根密鑰等敏感數據。”在論壇現場,一位安全人員如是說。
像這樣的例子還有很多,《白皮書》稱,安全人員對市場上近20款數字貨幣通用錢包APP、發幣公司官方錢包APP進行模擬攻擊,涉及使用錢包應用、貨幣交易、軟件防護等,從貨幣出生到交易完成的全流程。存在安全隱患的數字貨幣錢包超過八成,其中21%操作存在截屏、錄屏記錄;26%未檢測到系統運行環境;9%存在錢包APP偽造漏洞;6%交易密碼未檢測弱口令;38%核心代碼未加固等。
安全人員在無root權限(安卓手機的最高權限)下的截屏、錄屏可以得到助記詞、交易密碼等信息;利用Janus簽名問題(簽名漏洞可以讓攻擊者繞過安卓系統的簽名機制)對APP進行偽造;將軟件植入惡意代碼,可以修改轉賬人地址等操作。這些都會直接威脅用戶數字貨幣安全。
《白皮書》介紹,根據使用時的聯網狀態不同,數字貨幣錢包分為“熱錢包”和“冷錢包”。總體上來說,“熱錢包”漏洞多於“冷錢包”,攻擊面更多,更需要用戶和發幣方加強保護。
360集團信息安全部負責人高雪峰表示,區塊鏈興起後,數字貨幣錢包相應安全標準嚴重滯後,大部分錢包開發團隊以業務優先原則,對安全性未做足夠的防護。黑客一旦瞄準錢包,找到漏洞,就會將賬戶貨幣洗劫一空,而且由於數字貨幣匿名、不可追蹤等特性,被盜後難以追回。
此外,《白皮書》還給出了數字貨幣錢包的安全解決方案。方案包括對運行環境、協議交互、數據存儲、功能設計、域名DNS等近50個項目進行安全審計檢測,可實現對錢包的全方位保護。
閱讀更多 璨劍 的文章
