慢霧 | 錢包安全審計服務全面增加插件錢包安全審計項_門羅幣

近年來，加密錢包安全事件頻發。

根據慢霧MistTrack所接觸的受害者信息收集整理，錢包被盜的事件占比高達60%，顯而易見錢包是最有利可圖的目標，因此，錢包的安全性至關重要，當然，對錢包進行安全審計更是重中之重。

作為在區塊鏈耕耘已久的一員，慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包，如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性，慢霧科技在已有審計項的基礎上進行擴展，新增了對擴展/插件錢包的審計。

下面讓我們以問答形式來一睹為快！

插件錢包與常說的“錢包”有什么不同？

?

插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。

慢霧創始人余弦：助記詞/私鑰等敏感信息交給對安全不夠負責任的錢包來守護簡直就是諷刺:金色財經報道，慢霧創始人余弦在社交媒體上針對Atomic Wallet被盜事件稱，又一個知名錢包出現嚴重被盜事件，助記詞/私鑰如此敏感的信息交給對安全不夠負責任或安全等級不足夠高的錢包來守護，簡直就是諷刺。這里的信息不對稱太嚴重了，連我都難以回答哪些錢包是持續安全的...

助記詞/私鑰就應該躲在加密芯片、離線環境或可信環境里，用多簽/MPC去單點故障也行。

金色財經此前報道，根據ZachXBT統計的數據，Atomic Wallet鏈上被盜資金已經超過1400萬美元，估計至少有2000萬美元被盜。[2023/6/4 21:14:36]

插件錢包管理的助記詞/私鑰是與DApp相互隔離的，理論上第三方組件(如：DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊，所以安全性有一定的保證。

聲音 | 慢霧創始人：因相關細節被“不負責任”地公布，門羅幣緊急發布修復版本:區塊鏈安全公司慢霧創始人余弦在微博稱，由于Ledger硬件錢包門羅幣的一起“丟幣”事故，Ledger警告稱不要和門羅幣客戶端v0.14一起使用Monero Ledger HW應用程序（或Ledger Nano S），可能會引起“丟幣”事故，門羅幣官方轉發了這條消息。而這之前門羅幣官方緊急發布了最新的修復版本v0.14.0.1，解決了在Coinbase 交易中RingCT輸出的錯誤處理問題，正是這個導致了“丟幣”事故。之所以是緊急修復是因為漏洞相關細節已經被“不負責任”地公布了。余弦表示，有相關猜測稱，這是一個匿名貨幣小幣種嘲諷地披露了門羅幣“假充值”漏洞細節，解釋說是因為門羅幣對漏洞研究者一直很傲慢。這導致門羅幣提前發布了補丁。接入門羅幣的相關交易所和錢包盡快修復了漏洞。[2019/3/7]

插件錢包配置簡單，使用更方便，在官方渠道下載安裝后勾選開啟插件，使用時點擊圖標就可進入錢包，并且使用錢包管理助記詞/私鑰。

動態 | 慢霧 TradingView 0day 漏洞預警:據 Joinsec 情報及慢霧安全團隊的深入分析，通用 K 線展示 JS 庫 TradingView 再次發現兩個 0day 漏洞，可繞過 Cloudflare 及瀏覽器 CSP 防御機制，并且不會在 Web 服務上留下日志。第一個 0day 漏洞如果被利用成功會導致用戶帳號權限被盜、交易惡意操作等，從而造成資產損失；第二個 0day 漏洞可以實施釣魚攻擊盜取用戶賬號密碼，也可在特殊場景下繞過目標 Web 服務的 CSRF 防御。TradingView 在數字貨幣交易等平臺被非常廣泛地應用，屬于商業軟件，版本分布未知。鑒于歷史披露及新發現的 0day 漏洞相關場景來看，我們強烈建議使用 TradingView 的項目方保持警惕，注意用戶的異常反饋。細節我們會在合適時機下披露。[2019/3/1]

插件錢包的助記詞/私鑰的管理操作更方便和安全，僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬，簽名一筆交易，或者管理助記詞/私鑰。

動態 | 慢霧預警：警惕新型“交易排擠攻擊”:根據慢霧威脅情報分析系統分析，今日凌晨，EOS.WIN 遭遇黑客攻擊。EOS.WIN 的攻擊者 loveforlover 采用的是新型攻擊手法，為“交易排擠攻擊”，這種攻擊手法與之前攻擊 bocai.game 的攻擊手法為同一種攻擊手法。攻擊者首先是使用 loveforlover 發起正常的轉賬交易，然后使用另一個合約帳號檢測中獎行為。如果不中獎，則發起大量的 defer 交易，將項目方的開獎交易“擠”到下一個區塊中，此次攻擊源于項目方的隨機數算法使用了時間種子，使攻擊者提升了中獎幾率，導致攻擊成功。截止發文前，EOS.WIN 項目方仍未進行合約升級。慢霧安全團隊在此建議所有的項目方和開發者不要在隨機數算法內加入時間種子，防止被惡意攻擊。[2019/1/11]

慢霧在插件錢包安全方面有什么研究？

?

慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成，助記詞/私鑰的存儲，助記詞/私鑰的使用，助記詞/私鑰的備份，助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究，并梳理插件錢包安全的最佳實踐，并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。

如：

1.某些場景下可通過DApp頁面獲取助記詞/私鑰；

2.某些場景下可通過跨域方式獲取助記詞/私鑰；

3.某些場景下可在錢包鎖定后獲取助記詞/私鑰；

4.某些場景下可構造簽名數據進行假充值/假轉賬。

(攻擊面很多，歡迎來撩:-))

慢霧對插件錢包的整體安全審計是什么樣的？

?

慢霧安全團隊對錢包的審計涵蓋滲透測試內容，且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案，還會提出建議執行的安全增強點或最佳安全實踐，以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據，并根據項目方需求出具專業的安全審計報告。具體可參考：

https://www.slowmist.com/service-wallet-security-audit.html

當慢霧在審計插件錢包時，慢霧在審什么？

?

對于任何一款錢包來說，賬戶安全/私鑰安全都是極為重要的。因此，我們在對擴展/插件錢包進行審計時，仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖：

插件錢包安全審計主要使用哪些測試方式？

?

我們主要采用“黑盒與灰盒結合為主，白盒為輔”的方式。

黑盒測試：站在外部從攻擊者角度進行安全測試。

灰盒測試：通過腳本工具對代碼模塊進行安全測試，觀察內部運行狀態，挖掘弱點。

白盒測試：基于項目的源代碼，進行脆弱性分析和漏洞挖掘。

如何理解漏洞等級？

?

嚴重漏洞：會對項目的安全造成重大影響。

高危漏洞：會影響項目的正常運行。

中危漏洞：會影響項目的運行。

低危漏洞：可能在特定場景中會影響項目的業務操作。

弱點：理論上存在安全隱患，但工程上極難復現。

增強建議：編碼或架構存在更好的實踐方法。

對插件錢包有什么展望？

?

隨著區塊鏈產業的多鏈多元化發展，插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包，例如：波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展，還是很可觀的，非常值得關注。

有什么想對大家說的？

?

加密錢包審計重點在于解決常見的安全漏洞，規避可能出現的安全風險。作為用戶，希望能增強安全意識，不要隨意泄露助記詞/私鑰。作為項目方，對于安全問題的重視程度遠遠不夠，希望加密錢包項目方對于安全標準能有更好的認識，與我們一起共同保護用戶資產的安全。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10227688.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

比爾·蓋茨再談ChatGPT：將改變我們的世界！

Tags：門羅幣DAYTRALLE門羅幣好挖嗎知乎vastheydayTrade Genius Aitrustwallet沒有usdt

AAVE