近日,中國信息通信研究院泰爾終端實驗室、上海交通大學網絡空間安全學院、上海掌御信息科技有限公司共建的區塊鏈安全研究中心,和中國區塊鏈應用研究中心、上海淳粹文化傳媒有限公司、杭州加密谷區塊鏈科技有限公司聯合發佈《加密數字錢包APP信息安全現狀白皮書》。
據悉,這是行業內首次採用公開、合法的信息,運用科學的研究方法,對當前加密數字錢包行業相關移動應用(APP)做出的信息安全分析評判。
據劍橋大學統計:
全球數字資產錢包用戶2018年已經達到了3500萬,比2016年增長了三倍有餘。各大錢包廠商為了快速搶佔市場,使其將精力傾注於迅速推出和迭代上,而忽視了數字錢包本身的安全性。所以市面上大部分數字錢包都存在被黑客攻擊、盜幣等安全隱患。
區塊鏈最易受攻擊的板塊主要集中在交易平臺、智能合約上,其中加密數字資產的交易平臺佔比最高,達到34.15%。
去中心化數字錢包和包含數字錢包功能的中心化交易平臺
研究團隊選擇了6款去中心化數字錢包和8款包含數字錢包功能的中心化交易平臺進行了評測。
根據《白皮書》中公佈的測評排名,得分最高的去中心化數字錢包是imToken,得分最低的去中心化數字錢包是數字錢包校園版。得分最高的中心化交易所是火幣,得分最低的是LBank。行業專家認為,在當下加密貨幣的發展探索中,安全存儲已成為最為關鍵的一環,也是決定其健康可持續發展的基石。
▲6款去中心化數字錢包評測排名
▲8款包含數字錢包功能的中心化交易平臺評測排名
本次的評測結果表明,加密數字錢包APP仍然存在大量安全問題,特別是私鑰保護方面,實現安全性存在嚴重不足。另外,不同的APP安全防護水平存在較大的差別,部分防護較弱的APP可能輕易被黑客攻擊,從而造成用戶的信息洩露和財產損失。
主流加密數字錢包
白皮書在公佈針對14個主流加密數字錢包的測評標準、測試方法和測評結果的同時,也提出了“加密數字錢包的私鑰使用安全最佳實踐”的五個注意事項:
1、包括無論是否加密,錢包私鑰不能存放在服務器上。
2、無論是否加密,錢包私鑰不能存放在外部存儲卡上。
3、錢包私鑰不能以明文存儲在私有目錄。
4、使用過錢包私鑰後需要及時清理內存。
5、錢包私鑰需要配合助記詞使用,生成助記詞過程禁止截屏。
白皮書也在三個方面,提出
“加密數字錢包APP代碼安全規範”:在交易數據傳輸方法和實現方面,包括錢包私鑰不能通過網絡傳輸,不能使用HTTP明文進行數據通信,使用HTTPS則需要驗證證書以及綁定證書,若使用自定義協議,則需要有完善的密鑰交換協議。
在服務器安全方面,服務器通過與客戶端的通信接口,應當能夠抵禦常見的安全威脅。
在代碼保護方面,代碼需要完整性檢查碼,代碼能夠防逆向分析,代碼能夠防進程注入。
中國信息通信研究院泰爾終端實驗室信息安全部副主任袁琦給數字錢包用戶提出三點建議:
及時升級加密數字錢包APP,保持最新版本,防止舊版本安全漏洞遭到利用;
使用專用的移動設備和移動網絡進行操作,並及時升級移動操作系統;
關注權威測評機構最新發布的加密數字錢包APP安全測試報告。
《白皮書》出品方表示,當前存在的大部分問題是因為開發人員缺乏安全意識和專業的安全開發知識所導致,希望通過白皮書的發佈來呼籲行業內儘早建立關於加密數字錢包的安全評判標準,並讓用戶更清楚的認識和了解數字貨幣錢包的安全性問題、提高警惕。
來源 | 環球網
閱讀更多 鏈界財富 的文章
