近年来,加密钱包安全事件频发。
根据慢雾MistTrack所接触的受害者信息收集整理,钱包被盗的事件占比高达60%,显而易见钱包是最有利可图的目标,因此,钱包的安全性至关重要,当然,对钱包进行安全审计更是重中之重。
作为在区块链耕耘已久的一员,慢雾科技在区块链世界独特的安全架构方面拥有丰富且领先的实战经验。慢雾的相关安全服务已经覆盖超数十家行业内顶级的钱包,如imToken、HuobiWallet、RenrenBit钱包等。为了更好地增强各类加密钱包的安全性,慢雾科技在已有审计项的基础上进行扩展,新增了对扩展/插件钱包的审计。
下面让我们以问答形式来一睹为快!
插件钱包与常说的“钱包”有什么不同?
?
插件钱包是指基于浏览器(主要是GoogleChrome)开发的钱包。
慢雾创始人:网传MetaMask发生大规模被盗事件并不属实:4月18日消息,针对社区传言 MetaMask 不安全的言论,慢雾创始人余弦表示,今日 MetaMask 钱包开发人员 Taylor Monahan 的一条盗币攻击长推文(thread)在加密社区广泛传播,但实际其并未特指是 MetaMask 存在漏洞导致,唯一共同点是在 2014 年-2022 年期间创建密钥。有人没仔细看 Taylor 这个 thread,开始传播 MetaMask 不安全的谣言,煽风点火让大家弃用 MetaMask。可见大家是多么的容易恐慌,也有人在带节奏,平时养好安全习惯才是关键。[2023/4/18 14:11:29]
插件钱包管理的助记词/私钥是与DApp相互隔离的,理论上第三方组件(如:DApp或其他插件)很难通过技术手段突破隔离对插件钱包进行攻击,所以安全性有一定的保证。
动态 | 慢雾发布有关IOTA用户Trinity钱包被盗币攻击的推测:IOTA 因为近期不少用户的 Trinity 钱包被盗币攻击,为了阻止攻击继续、调查与修复具体原因,主网协调器都暂停运行了。这是一个被低估的经典攻击,官方没披露具体攻击细节,但通过慢雾的分析,可以做出某些重要推测,首先可以明确的几个点:1. 不是 IOTA 区块链协议的问题,是 IOTA 的 Trinity 桌面钱包的问题(官方说的,且先相信)2. 这款桌面钱包基于 Electron(一个使用 JavaScript 为核心构建桌面应用的框架),意味着核心代码是 JavaScript 写的3. 在做该做钱包新旧版本代码的 diff 分析时,发现去除了之前内置的一个交易所功能模块 MoonPay,这其中关键点是去掉了一段可怕的代码:const script = document.createElement('script');
script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';
document.write(script.outerHTML);如果这个第三方 JavaScript 链接主动或被黑作恶,那该桌面版钱包就可以认为是完全沦陷了。到这,慢雾很有理由相信这是个很大的定时炸弹,如果这个定时炸弹是真的炸了,那很吻合官方的一些说辞与解释,如:尽快升级新版本的 Trinity 桌面钱包,尽快改密码,尽快转移资产到安全种子里等等。且看官方的后续披露。[2020/2/19]
插件钱包配置简单,使用更方便,在官方渠道下载安装后勾选开启插件,使用时点击图标就可进入钱包,并且使用钱包管理助记词/私钥。
声音 | 慢雾余弦:区块链安全漏洞引起的财产损失未来将进一步扩大:据算力智库微信公众号文章,公开资料数据显示,2011-2019年之间,由区块链安全漏洞引起的损失高达84亿美元。其中,交易所是重灾区,占比近一半。对此,慢雾余弦表示,一方面,交易所的门槛比以往低了很多,而安全防护水平又层次不齐,对于地下黑客来说那就是满地黄金。此外,这一数据的背后体现了了人们对加密货币市场,对区块链的认同。基于这个共识,行业规模扩大,错误也随之放大。未来这一数据增幅还将继续扩大。对于中心化的交易所而言,会受到传统行业的攻击,如服务器、办公网等,也和公链、智能合约有关。每一环都有可能存在的安全问题。他建议把IT建设的预算中拿出15%-20%作为安全预算,其中包括人员的成本维护,杀软件,防火墙的购置等。但是这并不代表你配置了这些就一定不会被黑。抛开攻防博弈成本去看待这个问题是不客观的。你每投入一定的比例,那攻击门槛则相对提高了一个台阶。相对来说你被黑的概率会低很多,但我们这个行业没有人可以给出这样的一个永不被黑的承诺。[2019/10/30]
插件钱包的助记词/私钥的管理操作更方便和安全,仅需要在插件钱包中"点点点"就能轻松的发起一笔转账,签名一笔交易,或者管理助记词/私钥。
分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]
慢雾在插件钱包安全方面有什么研究?
?
慢雾安全团队从钱包生命周期“助记词/私钥的生成,助记词/私钥的存储,助记词/私钥的使用,助记词/私钥的备份,助记词/私钥的销毁”这五大过程的安全作为主要切入口进行安全研究,并梳理插件钱包安全的最佳实践,并在实战过程中挖掘了不少优质的插件钱包的攻击面。
如:
1.某些场景下可通过DApp页面获取助记词/私钥;
2.某些场景下可通过跨域方式获取助记词/私钥;
3.某些场景下可在钱包锁定后获取助记词/私钥;
4.某些场景下可构造签名数据进行假充值/假转账。
(攻击面很多,欢迎来撩:-))
慢雾对插件钱包的整体安全审计是什么样的?
?
慢雾安全团队对钱包的审计涵盖渗透测试内容,且比渗透测试服务更全面与精细。不仅会对目标项目进行漏洞发现提出修复方案,还会提出建议执行的安全增强点或最佳安全实践,以杜绝未来可能出现的安全风险。安全审计将提供更全面更多维的企业安全体系落地建设依据,并根据项目方需求出具专业的安全审计报告。具体可参考:
https://www.slowmist.com/service-wallet-security-audit.html
当慢雾在审计插件钱包时,慢雾在审什么?
?
对于任何一款钱包来说,账户安全/私钥安全都是极为重要的。因此,我们在对扩展/插件钱包进行审计时,仍然将重点放在助记词/私钥这一部分。具体可以参考下图:
插件钱包安全审计主要使用哪些测试方式?
?
我们主要采用“黑盒与灰盒结合为主,白盒为辅”的方式。
黑盒测试:站在外部从攻击者角度进行安全测试。
灰盒测试:通过脚本工具对代码模块进行安全测试,观察内部运行状态,挖掘弱点。
白盒测试:基于项目的源代码,进行脆弱性分析和漏洞挖掘。
如何理解漏洞等级?
?
严重漏洞:会对项目的安全造成重大影响。
高危漏洞:会影响项目的正常运行。
中危漏洞:会影响项目的运行。
低危漏洞:可能在特定场景中会影响项目的业务操作。
弱点:理论上存在安全隐患,但工程上极难复现。
增强建议:编码或架构存在更好的实践方法。
对插件钱包有什么展望?
?
随着区块链产业的多链多元化发展,插件钱包似乎也开辟了一条新赛道。其实慢雾陆陆续续审计过不少知名的插件钱包,例如:波场推出的第一款插件钱包TronLink、由星火矿池推出的GasNow、适配Alaya网络和PlatON网络的Samurai、ICON的第一个移动钱包MyIconWallet、以及DeBank团队于前不久推出的Rabby等等。目前对于插件钱包的发展,还是很可观的,非常值得关注。
有什么想对大家说的?
?
加密钱包审计重点在于解决常见的安全漏洞,规避可能出现的安全风险。作为用户,希望能增强安全意识,不要随意泄露助记词/私钥。作为项目方,对于安全问题的重视程度远远不够,希望加密钱包项目方对于安全标准能有更好的认识,与我们一起共同保护用户资产的安全。
来源链接:mp.weixin.qq.com
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/10227688.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
比尔·盖茨再谈ChatGPT:将改变我们的世界!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。