APP:慢霧 | 錢包安全審計服務全面增加插件錢包安全審計項_DappRadar

近年來，加密錢包安全事件頻發。

根據慢霧MistTrack所接觸的受害者信息收集整理，錢包被盜的事件占比高達60%，顯而易見錢包是最有利可圖的目標，因此，錢包的安全性至關重要，當然，對錢包進行安全審計更是重中之重。

作為在區塊鏈耕耘已久的一員，慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包，如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性，慢霧科技在已有審計項的基礎上進行擴展，新增了對擴展/插件錢包的審計。

下面讓我們以問答形式來一睹為快！

插件錢包與常說的“錢包”有什么不同？

?

插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。

BKEX入駐慢霧區，發布安全漏洞與威脅情報賞金計劃:據官方消息，為了進一步保障用戶資產安全，提高平臺安全風控等級，BKEX 入駐慢霧區，發布“安全漏洞與威脅情報賞金計劃”，嚴重漏洞最高獎勵10,000USDT.本次漏洞賞金主要針對BKEX網站及APP。[2020/8/12]

插件錢包管理的助記詞/私鑰是與DApp相互隔離的，理論上第三方組件(如：DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊，所以安全性有一定的保證。

插件錢包配置簡單，使用更方便，在官方渠道下載安裝后勾選開啟插件，使用時點擊圖標就可進入錢包，并且使用錢包管理助記詞/私鑰。

插件錢包的助記詞/私鑰的管理操作更方便和安全，僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬，簽名一筆交易，或者管理助記詞/私鑰。

慢霧在插件錢包安全方面有什么研究？

聲音 | 慢霧科技余弦：公鏈需應對未來可能的新型51%攻擊挑戰:安全公司慢霧科技創始人余弦今日表示，我和團隊的感覺是，Vitalik 的分享有偷換概念，創造名詞嫌疑。PoW、PoS 各有優劣，也各有自己獨特的 51% 攻擊及治理方式，51% 已經是一個廣義概念了，我覺得最長遠的對抗方式是：這條鏈擁有足夠強的全球共識，以應對未來可能出現的新型 51% 攻擊挑戰。其實所有公鏈都有個持續存在的上帝視角級挑戰，一種根本不計經濟成本的攻擊挑戰，那什么樣的攻擊是不計成本的？此前消息，以太坊聯合創始人Vitalik Buterin近日發表題為《越過51%攻擊》的演講，他表示覆巢式51%攻擊成PoW區塊鏈致命威脅，PoS或是唯一出路。[2020/2/22]

?

慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成，助記詞/私鑰的存儲，助記詞/私鑰的使用，助記詞/私鑰的備份，助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究，并梳理插件錢包安全的最佳實踐，并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。

聲音 | 慢霧聯合創始人余弦：警惕錢包助記詞截圖、私鑰剪切板被作惡App盜取:慢霧聯合創始人余弦今日發布微博稱，安卓的App權限控制確實很坑，一個不小心你的錢包助記詞截圖、私鑰剪切板就可能被作惡App盜取，不需要root，攻擊場景很廣、很容易。iPhone做得相對好，但也要小心剪貼板竊取。剪切板用完就應該釋放，自動釋放機制沒有，就養成個手動替換的習慣。[2019/2/16]

如：

1.某些場景下可通過DApp頁面獲取助記詞/私鑰；

2.某些場景下可通過跨域方式獲取助記詞/私鑰；

3.某些場景下可在錢包鎖定后獲取助記詞/私鑰；

4.某些場景下可構造簽名數據進行假充值/假轉賬。

(攻擊面很多，歡迎來撩:-))

慢霧對插件錢包的整體安全審計是什么樣的？

慢霧科技公告慢霧科技：Redis挖礦蠕蟲爆發，中國占比總感染是88%:據慢霧科技公告，近期Redis挖礦蠕蟲爆發，目前中國占比總感染是88%。該蠕蟲通過6379端口直接打crontab，成功后先自行關閉Linux的部分安全策略和其他競爭蠕蟲，并清理痕跡，并在內外網進行傳播。其挖礦算法為CryptoNight，支持此類算法的有門羅幣（XMR），字節幣（BCN）等。[2018/5/21]

?

慢霧安全團隊對錢包的審計涵蓋滲透測試內容，且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案，還會提出建議執行的安全增強點或最佳安全實踐，以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據，并根據項目方需求出具專業的安全審計報告。具體可參考：

https://www.slowmist.com/service-wallet-security-audit.html

當慢霧在審計插件錢包時，慢霧在審什么？

?

對于任何一款錢包來說，賬戶安全/私鑰安全都是極為重要的。因此，我們在對擴展/插件錢包進行審計時，仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖：

插件錢包安全審計主要使用哪些測試方式？

?

我們主要采用“黑盒與灰盒結合為主，白盒為輔”的方式。

黑盒測試：站在外部從攻擊者角度進行安全測試。

灰盒測試：通過腳本工具對代碼模塊進行安全測試，觀察內部運行狀態，挖掘弱點。

白盒測試：基于項目的源代碼，進行脆弱性分析和漏洞挖掘。

如何理解漏洞等級？

?

嚴重漏洞：會對項目的安全造成重大影響。

高危漏洞：會影響項目的正常運行。

中危漏洞：會影響項目的運行。

低危漏洞：可能在特定場景中會影響項目的業務操作。

弱點：理論上存在安全隱患，但工程上極難復現。

增強建議：編碼或架構存在更好的實踐方法。

對插件錢包有什么展望？

?

隨著區塊鏈產業的多鏈多元化發展，插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包，例如：波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展，還是很可觀的，非常值得關注。

有什么想對大家說的？

?

加密錢包審計重點在于解決常見的安全漏洞，規避可能出現的安全風險。作為用戶，希望能增強安全意識，不要隨意泄露助記詞/私鑰。作為項目方，對于安全問題的重視程度遠遠不夠，希望加密錢包項目方對于安全標準能有更好的認識，與我們一起共同保護用戶資產的安全。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10227688.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

比爾·蓋茨再談ChatGPT：將改變我們的世界！

Tags：APP區塊鏈非小號DAP以太坊交易所app官網下區塊鏈技術通俗講解中山大學yee幣行情非小號DappRadar

區塊鏈