加密錢包安全審計清單：你的錢包是否安全？_WEB

近一個月，比特幣幣值從1.8萬美元到2萬美元，漲勢如虹。幣圈傳出消息：圣誕節前，比特幣必將大漲一波。

昨日晚間，BTC就十分爭氣的沖上了23000的高位。

在比特幣漲勢帶領下，幣圈陷入瘋狂，加密數字行情炙手可熱，以太坊、瑞波幣、萊特幣等加密貨幣同樣漲勢喜人。

從昨日晚間到今日，幣圈上演了一幕幕大型“真香”現場，市場的狂熱投資者陸續進場“搏斗”。

相比于2017年的比特幣狂歡，這次的漲勢看起來可能更加的穩定。

2020年對于所有人來說都是特殊的一年，疫情爆發，幣圈動蕩。去中心化金融DeFi的出現和發展熱潮使得區塊鏈開始再次受到人們的關注。

隨著新區塊鏈項目的推出，超過兩千種的加密資產，越來越多的加密錢包進入市場，越來越多的用戶也開始涌入這個領域。

當加密領域擁有的資產越來越龐大，來自于安全隱患方面的危機也顯露無遺。

比特幣大漲，你的錢包是否還安全？

近年來，數字錢包安全事件頻發。

去年11月19日，ArsTechnica報道稱兩個加密貨幣錢包數據遭泄露，220萬賬戶信息被盜。安全研究員TroyHunt證實，被盜數據來自加密貨幣錢包GateHub和RuneScape機器人提供商EpicBot的賬戶。

這已經不是Gatehub第一次遭遇數據泄露了。據報道，去年6月，黑客入侵了大約100個XRPLedger錢包，導致近1000萬美元的資金被盜。

2019年3月29日，Bithumb失竊事件鬧得沸沸揚揚。據猜測，這次事件起因為Bithumb擁有的g4ydomrxhege帳戶的私鑰被黑客盜取。

黑莓報告：黑客軟件被用于竊取加密錢包和銀行信息數據:金色財經報道，根據黑莓報告，受網絡攻擊影響最嚴重的三個行業是金融、醫療保健和政府。名為RedLine的商品惡意軟件是長期存在的金融威脅之一，其任務是收集包括加密貨幣和銀行信息在內的信息。

在黑莓最流行的惡意軟件家族列表中，SmokeLoader、RaccoonStealer（也稱為RecordBreaker）和Vidar名列前茅。SmokeLoader是2011年最古老的流氓金融工具之一，主要被俄羅斯威脅行為者用來加載加密貨幣挖礦程序和其他惡意軟件。RaccoonStealer已被用來竊取加密貨幣錢包數據，據報道正在暗網上出售。Vidar還被廣泛用于收集加密貨幣錢包。

Linux是所有操作系統中最大的目標，黑莓建議組織定期應用安全補丁。黑客以Linux為目標，劫持并使用計算機資源來挖掘加密貨幣。[2023/8/3 16:15:55]

隨即，黑客將竊取的資金分散到各個交易所，包括火幣，HitBTC，WB和EXmo。根據非官方數據和用戶估計，Bithumb遭受的損失高達300萬個EOS幣和2000萬個XRP幣以上。

由于數字貨幣的匿名性及去中心化，導致被盜資產在一定程度上難以追回。因此，錢包的安全性至關重要。

2020年8月9日，CertiK的安全工程師在DEFCON區塊鏈安全大會上發表了演講主題為：ExploitInsecureCryptoWallet的主題報告，分享了對于加密錢包安全的見解。

加密錢包是一種幫助用戶管理帳戶和簡化交易過程的應用程序。

有些區塊鏈項目發布加密錢包應用程序來支持本鏈的發展——比如用于CertiKChain的Deepwallet。

加密錢包Xverse、Hiro將于本周更新版本，支持從Ordinals地址直接提取比特幣:3月9日消息，據官方推特，針對TwelveFold拍賣退款BTC無法提現問題，加密錢包Xverse以及Hiro發布公告稱，將于本周更新版本，支持用戶從Ordinals地址直接提取比特幣。

此前消息，Yuga Labs將TwelveFold拍賣退款BTC發送至用戶提供的Ordinals地址，并鑄成了銘文，導致部分用戶無法及時提現。[2023/3/9 12:52:03]

此外，還有像Shapeshift這樣的公司，其構建了支持不同區塊鏈協議的錢包。

從安全的角度來看，加密錢包最需重視的問題是防止攻擊者竊取用戶錢包的助記詞和私鑰等信息。

近一年來，CertiK技術團隊對多個加密錢包進行了測試和研究，并在此分享針對基于軟件不同類型的加密錢包進行安全評估的方法及流程。

加密錢包基礎審計清單

要對一個應用程序進行評估，首先需要了解其工作原理→代碼實現是否遵循最佳安全標準→如何對安全性不足的部分進行修正及提高。

CertiK技術團隊針對加密錢包制作了一個基礎審計清單，這份清單反映了所有形式的加密錢包應用，尤其是手機和web錢包是如何生產和儲存用戶私鑰的。

●?應用程序如何生成私鑰？

●?應用程序如何以及在何處存儲原始信息和私鑰？

●?錢包連接到的是否是值得信任的區塊鏈節點？

●?應用程序允許用戶配置自定義區塊鏈節點嗎？如果允許，惡意區塊鏈節點會對應用程序造成什么影響？

動態 | 萬事達卡正在招聘相應加密技術崗位以專注于加密錢包領域:據The Block報道，國際支付系統公司萬事達卡（Mastercard）工作委員會表示，該公司正尋求填補三個高級職位的空缺，以領導加密貨幣領域的工作，重點是支付和錢包解決方案。職位空缺包括兩名主管，分別是“產品開發與創新—區塊鏈解決方案架構師”和“產品管理—加密貨幣/錢包”，以及一名負責區塊鏈產品管理的副總裁。根據職位描述，新員工將“與一個跨職能團隊合作，包括特許經營、合規、監管、產品、實驗室、地區和技術，以開發新產品和解決方案”。 值得注意的是，其中兩份職位描述也提到了“錢包解決方案”，特別是作為這些新員工預計將領導的區塊鏈項目的一部分。這兩個崗位還要求候選人具有管理加密貨幣錢包產品的經驗。目前還不清楚這些錢包解決方案會是什么樣子。然而，萬事達最近與Facebook的合作，可能為其提供一個新的合作機會，或打造自己的加密貨幣錢包。[2019/8/5]

●?應用程序是否連接了中心化服務器？如果是，客戶端應用會向服務器發送哪些信息？

●?應用程序是否要求用戶設置一個安全性高的密碼？

●?當用戶試圖訪問敏感信息或轉賬時，應用程序是否要求二次驗證？

●?應用程序是否使用了存在漏洞且可被攻擊的第三方庫？

●?有沒有秘密在源代碼存儲庫中泄漏？

●?有沒有明顯的不良代碼實現在程序源代碼中出現？

●?應用服務器是否強制TLS連接？

手機錢包

相比于筆記本電腦，手機等移動設備更容易丟失或被盜。

在分析針對移動設備的威脅時，必須考慮攻擊者可以直接訪問用戶設備的情況。

動態 | 谷歌游戲商店發現四個惡意Android加密錢包:據Softpedia消息，安全研究員Lukas Stefanko在谷歌應用商店中發現四款偽裝成假加密貨幣錢包的惡意Android應用程序。Stefanko觀察到這些假的加密貨幣錢包是使用拖放構建器服務創建的。[2018/11/14]

在評估過程中，如果攻擊者獲得訪問用戶設備的權限，或者用戶設備感染惡意軟件，我們需要設法識別導致賬戶和密碼資產受損的潛在問題。

除了基礎清單以外，以下是在評估手機錢包時要增加檢查的審計類目：

●?應用程序是否警告用戶不要對敏感數據進行截屏——在顯示敏感數據時，安卓應用是否會阻止用戶截屏？iOS應用是否警告用戶不要對敏感數據進行截屏？

●?應用程序是否在后臺截圖中泄漏敏感信息？

●?應用程序是否檢測設備是否越獄/root？

●?應用程序是否鎖定后臺服務器的證書？

●?應用程序是否在程序的log中記錄了敏感信息？

●?應用程序是否包含配置錯誤的deeplink和intent，它們可被利用嗎??

●??應用程序包是否混淆代碼？

●?應用程序是否實現了反調試功能?

●?應用程序是否檢查應用程序重新打包?

●??(iOS)儲存在iOSKeychain中的數據是否具有足夠安全的屬性？

●?應用程序是否受到密鑰鏈數據持久性的影響?

●?當用戶輸入敏感信息時，應用程序是否禁用自定義鍵盤?

動態 | 加密錢包 Wirex為西班牙和法國的用戶推出IBAN賬戶:根據cryptoninjas消息，數字錢包平臺Wirex今天推出了針對西班牙和法國用戶的歐元賬戶IBAN，同時提高了賬戶限額。EEA的用戶現在可以在他們的賬戶投入￡15000、€16000和 $20000。Wirex聯合創始人Pavel Matveev表示:“在與我們的金融合作伙伴合作之后，我們已經能夠擴大我們的支付服務。我們希望為所有用戶改善Wirex的體驗，同時繼續縮小我們的服務與傳統金融平臺之間的差距，目前Wirex賬戶包括Visa借記卡作為支付方式，上個月已經獲得FCA電子貨幣許可證。”[2018/9/28]

●?應用程序是否安全使用“webview”來加載外部網站？

Web錢包

對于一個完全去中心化的錢包來說，Web應用程序逐漸成為不太受歡迎的選擇。MyCrypto不允許用戶在web應用程序中使用密鑰庫/助記詞/私鑰訪問錢包，MyEtherWallet也同樣建議用戶不要這樣做。

與在其他三種平臺上運行的錢包相比，以web應用程序的形式對錢包進行釣魚攻擊相對來說更容易；如果攻擊者入侵了web服務器，他可以通過向web頁面注入惡意的JavaScript，輕松竊取用戶的錢包信息。

然而，一個安全構建并經過徹底測試的web錢包依舊是用戶管理其加密資產的不二之選。

除了上面常規的基礎審計類目之外，我們在評估客戶端web錢包時，還列出了以下需要審計的類目列表：

●?應用程序存在跨站點腳本XSS漏洞嗎？

●?應用程序存在點擊劫持漏洞嗎？

●?應用程序有沒有有效的ContentSecurityPolicy？

●?應用程序存在開放式重定向漏洞嗎？

●?應用程序存在HTML注入漏洞嗎？

●?現在網頁錢包使用cookie的情況很少見，但如果有的話，應檢查：

?Cookie屬性

?跨站請求偽造

?跨域資源共享配置錯誤

●?該應用程序是否包含除基本錢包功能之外的其他功能?這些功能存在可被利用的漏洞嗎？

●OWASPTop10中未在上文提到的漏洞。

擴展錢包

Metamask是最有名和最常用的加密錢包之一，它以瀏覽器擴展的形式出現。

擴展錢包在內部的工作方式與web應用程序非常相似。

不同之處在于它包含被稱為contentscript和backgroundscript的獨特組件。??

網站通過contentscript和backgroundscript傳遞事件或消息來與擴展頁面進行交流。

在擴展錢包評估期間，最重要的事情之一就是測試一個惡意網站是否可以在未經用戶同意的情況下讀取或寫入屬于擴展錢包的數據。

除了基礎清單以外，以下是在評估擴展錢包時要增加檢查的審計類目：

●?擴展要求了哪些權限？

●?擴展應用如何決定哪個網站允許與擴展錢包進行交流？

●?擴展錢包如何與web頁面交互？

●?惡意網站是否可以通過擴展中的漏洞來攻擊擴展本身或瀏覽器中其他的頁面？

●?惡意網站是否可以在未經用戶同意的情況下讀取或修改屬于擴展的數據？

●?擴展錢包存在點擊劫持漏洞嗎？

●擴展錢包在處理消息之前是否已檢查消息來源？

●?應用程序是否實現了有效的內容安全策略?

Electron桌面錢包

在編寫了web應用程序的代碼之后，為什么不用這些代碼來建造一個Electron中桌面應用程序呢？

在以往測試過的桌面錢包中，大約80%的桌面錢包是基于Electron框架的。在測試基于Electron的桌面應用程序時，不僅要尋找web應用程序中可能存在的漏洞，還要檢查Electron配置是否安全。

CertiK曾針對Electron的桌面應用程序漏洞進行了分析，你可以點擊訪問此文章了解詳情。

以下是基于Electron的桌面錢包受評估時要增加檢查的審計類目：

●?應用程序使用什么版本的Electron？

●?應用程序是否加載遠程內容？

●?應用程序是否禁用“nodeIntegration”和“enableRemoteModule”？

●?應用程序是否啟用了“contextisolation”,“sandbox”and“webSecurity”選項？

●?應用程序是否允許用戶在同一窗口中從當前錢包頁面跳轉到任意的外部頁面？

●?應用程序是否實現了有效的內容安全策略？

●preloadscript是否包含可能被濫用的代碼？

●應用程序是否將用戶輸入直接傳遞到危險函數中(如“openExternal”)？

●?應用程序會使不安全的自定義協議嗎?

服務器端漏洞檢查列表

在我們測試過的加密錢包應用程序中，有一半以上是沒有中心化服務器的，他們直接與區塊鏈節點相連。

CertiK技術團隊認為這是減少攻擊面和保護用戶隱私的方法。

但是，如果應用程序希望為客戶提供除了帳戶管理和令牌傳輸之外的更多功能，那么該應用程序可能需要一個帶有數據庫和服務器端代碼的中心化服務器。

服務器端組件要測試的項目高度依賴于應用程序特性。

根據在研究以及與客戶接觸中發現的服務器端漏洞，我們編寫了下文的漏洞檢查表。當然，它并不包含所有可能產生的服務器端漏洞。

●?認證和授權

●?KYC及其有效性

●?競賽條件

●?云端服務器配置錯誤

●?Web服務器配置錯誤

●?不安全的直接對象引用(IDOR)

●?服務端請求偽造(SSRF)

●?不安全的文件上傳

●?任何類型的注入(SQL，命令，template)漏洞

●?任意文件讀/寫

●?業務邏輯錯誤

●?速率限制

●?拒絕服務

●?信息泄漏

總結

隨著技術的發展，黑客們實施的欺詐和攻擊手段也越來越多樣化。

CertiK安全技術團隊希望通過對加密錢包安全隱患的分享讓用戶更清楚的認識和了解數字貨幣錢包的安全性問題、提高警惕。

現階段，許多開發團隊對于安全的問題重視程度遠遠低于對于業務的重視程度，對自身的錢包產品并未做到足夠的安全防護。通過分享加密錢包的安全審計類目，CertiK期望加密錢包項目方對于產品的安全標準擁有清晰的認知，從而促進產品安全升級，共同保護用戶資產的安全性。

數字貨幣攻擊是多技術維度的綜合攻擊，需要考慮到在數字貨幣管理流通過程中所有涉及到的應用安全，包括電腦硬件、區塊鏈軟件，錢包等區塊鏈服務軟件，智能合約等。

加密錢包需要重視對于潛在攻擊方式的檢測和監視，避免多次受到同一方式的攻擊，并且加強數字貨幣賬戶安全保護方法，使用物理加密的離線冷存儲來保存重要數字貨幣。除此之外，需要聘請專業的安全團隊進行網絡層面的測試，并通過遠程模擬攻擊來尋找漏洞。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價!

Tags：WEB區塊鏈加密貨幣TIKweb3幣圈區塊鏈技術是什么加密貨幣市場總市值PLASTIK價格

非小號