近一個月,比特幣幣值從1.8萬美元到2萬美元,漲勢如虹。幣圈傳出消息:圣誕節前,比特幣必將大漲一波。
昨日晚間,BTC就十分爭氣的沖上了23000的高位。
在比特幣漲勢帶領下,幣圈陷入瘋狂,加密數字行情炙手可熱,以太坊、瑞波幣、萊特幣等加密貨幣同樣漲勢喜人。
從昨日晚間到今日,幣圈上演了一幕幕大型“真香”現場,市場的狂熱投資者陸續進場“搏斗”。
相比于2017年的比特幣狂歡,這次的漲勢看起來可能更加的穩定。
2020年對于所有人來說都是特殊的一年,疫情爆發,幣圈動蕩。去中心化金融DeFi的出現和發展熱潮使得區塊鏈開始再次受到人們的關注。
隨著新區塊鏈項目的推出,超過兩千種的加密資產,越來越多的加密錢包進入市場,越來越多的用戶也開始涌入這個領域。
當加密領域擁有的資產越來越龐大,來自于安全隱患方面的危機也顯露無遺。
比特幣大漲,你的錢包是否還安全?
近年來,數字錢包安全事件頻發。
去年11月19日,ArsTechnica報道稱兩個加密貨幣錢包數據遭泄露,220萬賬戶信息被盜。安全研究員TroyHunt證實,被盜數據來自加密貨幣錢包GateHub和RuneScape機器人提供商EpicBot的賬戶。
這已經不是Gatehub第一次遭遇數據泄露了。據報道,去年6月,黑客入侵了大約100個XRPLedger錢包,導致近1000萬美元的資金被盜。
2019年3月29日,Bithumb失竊事件鬧得沸沸揚揚。據猜測,這次事件起因為Bithumb擁有的g4ydomrxhege帳戶的私鑰被黑客盜取。
加密錢包Trust Wallet集成Sui Network:金色財經報道,加密貨幣錢包Trust Wallet宣布集成Sui Network。 Sui基金會表示,主網上線后,超過50%的計劃代幣將用于項目的開發。[2023/5/4 14:42:06]
隨即,黑客將竊取的資金分散到各個交易所,包括火幣,HitBTC,WB和EXmo。根據非官方數據和用戶估計,Bithumb遭受的損失高達300萬個EOS幣和2000萬個XRP幣以上。
由于數字貨幣的匿名性及去中心化,導致被盜資產在一定程度上難以追回。因此,錢包的安全性至關重要。
2020年8月9日,CertiK的安全工程師在DEFCON區塊鏈安全大會上發表了演講主題為:ExploitInsecureCryptoWallet的主題報告,分享了對于加密錢包安全的見解。
加密錢包是一種幫助用戶管理帳戶和簡化交易過程的應用程序。
有些區塊鏈項目發布加密錢包應用程序來支持本鏈的發展——比如用于CertiKChain的Deepwallet。
此外,還有像Shapeshift這樣的公司,其構建了支持不同區塊鏈協議的錢包。
從安全的角度來看,加密錢包最需重視的問題是防止攻擊者竊取用戶錢包的助記詞和私鑰等信息。
近一年來,CertiK技術團隊對多個加密錢包進行了測試和研究,并在此分享針對基于軟件不同類型的加密錢包進行安全評估的方法及流程。
加密錢包基礎審計清單
要對一個應用程序進行評估,首先需要了解其工作原理→代碼實現是否遵循最佳安全標準→如何對安全性不足的部分進行修正及提高。
加密錢包The Easy Company完成1420萬美元種子輪融資:1月10日消息,“社交”加密錢包The Easy Company完成1420萬美元種子輪融資, Lobby Capital、Relay Ventures、6th Man Ventures、Tapestry、Upside 和 Scribble,以及來自傳統社交媒體和 web3 的天使投資人等參投。這筆資金將用于繼續構建社交產品,同時也將用于擴大區塊鏈支持。[2023/1/10 11:04:45]
CertiK技術團隊針對加密錢包制作了一個基礎審計清單,這份清單反映了所有形式的加密錢包應用,尤其是手機和web錢包是如何生產和儲存用戶私鑰的。
●?應用程序如何生成私鑰?
●?應用程序如何以及在何處存儲原始信息和私鑰?
●?錢包連接到的是否是值得信任的區塊鏈節點?
●?應用程序允許用戶配置自定義區塊鏈節點嗎?如果允許,惡意區塊鏈節點會對應用程序造成什么影響?
●?應用程序是否連接了中心化服務器?如果是,客戶端應用會向服務器發送哪些信息?
●?應用程序是否要求用戶設置一個安全性高的密碼?
●?當用戶試圖訪問敏感信息或轉賬時,應用程序是否要求二次驗證?
●?應用程序是否使用了存在漏洞且可被攻擊的第三方庫?
●?有沒有秘密在源代碼存儲庫中泄漏?
●?有沒有明顯的不良代碼實現在程序源代碼中出現?
●?應用服務器是否強制TLS連接?
LG電子計劃于第三季度推出加密錢包Wallypto:9月1日消息,總部位于韓國的LG電子正準備在2022年第三季度發布其首個名為“Wallypto”的加密錢包應用程序。自8月以來,LG電子一直在與開發人員對該應用程序進行Beta測試,目前正處于最終驗證階段。
據悉,“Wallypto”建立在Hedera Hashgraph區塊鏈之上,目前支持Hedera的HTS代幣,預計在正式發布后將擴大支持網絡和代幣的列表。(Forkast)[2022/9/1 13:01:51]
手機錢包
相比于筆記本電腦,手機等移動設備更容易丟失或被盜。
在分析針對移動設備的威脅時,必須考慮攻擊者可以直接訪問用戶設備的情況。
在評估過程中,如果攻擊者獲得訪問用戶設備的權限,或者用戶設備感染惡意軟件,我們需要設法識別導致賬戶和密碼資產受損的潛在問題。
除了基礎清單以外,以下是在評估手機錢包時要增加檢查的審計類目:
●?應用程序是否警告用戶不要對敏感數據進行截屏——在顯示敏感數據時,安卓應用是否會阻止用戶截屏?iOS應用是否警告用戶不要對敏感數據進行截屏?
●?應用程序是否在后臺截圖中泄漏敏感信息?
●?應用程序是否檢測設備是否越獄/root?
●?應用程序是否鎖定后臺服務器的證書?
●?應用程序是否在程序的log中記錄了敏感信息?
●?應用程序是否包含配置錯誤的deeplink和intent,它們可被利用嗎??
●??應用程序包是否混淆代碼?
韓國家:過去兩年朝鮮黑客通過襲擊韓國加密錢包獲取 3.1 億美元:一位韓國高級家聲稱,過去兩年,來自朝鮮的黑客襲擊了韓國的加密錢包,竊取金額接近 3.1 億美元。朝鮮襲擊者還成功地對韓國互聯網與安全局(KISA)進行了攻擊,韓國互聯網與安全局(KISA)是政府運營的情報部門,負責開展反網絡犯罪工作。(cryptonews)[2021/7/6 0:29:50]
●?應用程序是否實現了反調試功能?
●?應用程序是否檢查應用程序重新打包?
●??(iOS)儲存在iOSKeychain中的數據是否具有足夠安全的屬性?
●?應用程序是否受到密鑰鏈數據持久性的影響?
●?當用戶輸入敏感信息時,應用程序是否禁用自定義鍵盤?
●?應用程序是否安全使用“webview”來加載外部網站?
Web錢包
對于一個完全去中心化的錢包來說,Web應用程序逐漸成為不太受歡迎的選擇。MyCrypto不允許用戶在web應用程序中使用密鑰庫/助記詞/私鑰訪問錢包,MyEtherWallet也同樣建議用戶不要這樣做。
與在其他三種平臺上運行的錢包相比,以web應用程序的形式對錢包進行釣魚攻擊相對來說更容易;如果攻擊者入侵了web服務器,他可以通過向web頁面注入惡意的JavaScript,輕松竊取用戶的錢包信息。
然而,一個安全構建并經過徹底測試的web錢包依舊是用戶管理其加密資產的不二之選。
除了上面常規的基礎審計類目之外,我們在評估客戶端web錢包時,還列出了以下需要審計的類目列表:
動態 | Shitcoin wallet在線錢包暗藏惡意腳本,肆意竊取加密錢包私鑰:據降維安全實驗室(johnwick.io)了解,一款基于Chrome的擴展程序(Shitcoin Wallet)被嵌入惡意JavaScript代碼,不僅將該擴展內管理的錢包私鑰發送至第三方惡意網站,而且當用戶訪問5個主流加密貨幣管理平臺(MyEtherWallet.com、Idex.Market、Binance.org、NeoTracker.io和Switcheo.exchange)時,該程序會竊取用戶的登錄憑證及私鑰并將其發送至同樣的惡意網站erc20wallet.tk。降維安全實驗室在此建議用戶立即停止使用Shitcoin Wallet在線錢包,避免資產遭受損失。[2020/1/2]
●?應用程序存在跨站點腳本XSS漏洞嗎?
●?應用程序存在點擊劫持漏洞嗎?
●?應用程序有沒有有效的ContentSecurityPolicy?
●?應用程序存在開放式重定向漏洞嗎?
●?應用程序存在HTML注入漏洞嗎?
●?現在網頁錢包使用cookie的情況很少見,但如果有的話,應檢查:
?Cookie屬性
?跨站請求偽造
?跨域資源共享配置錯誤
●?該應用程序是否包含除基本錢包功能之外的其他功能?這些功能存在可被利用的漏洞嗎?
●OWASPTop10中未在上文提到的漏洞。
擴展錢包
Metamask是最有名和最常用的加密錢包之一,它以瀏覽器擴展的形式出現。
擴展錢包在內部的工作方式與web應用程序非常相似。
不同之處在于它包含被稱為contentscript和backgroundscript的獨特組件。??
網站通過contentscript和backgroundscript傳遞事件或消息來與擴展頁面進行交流。
在擴展錢包評估期間,最重要的事情之一就是測試一個惡意網站是否可以在未經用戶同意的情況下讀取或寫入屬于擴展錢包的數據。
除了基礎清單以外,以下是在評估擴展錢包時要增加檢查的審計類目:
●?擴展要求了哪些權限?
●?擴展應用如何決定哪個網站允許與擴展錢包進行交流?
●?擴展錢包如何與web頁面交互?
●?惡意網站是否可以通過擴展中的漏洞來攻擊擴展本身或瀏覽器中其他的頁面?
●?惡意網站是否可以在未經用戶同意的情況下讀取或修改屬于擴展的數據?
●?擴展錢包存在點擊劫持漏洞嗎?
●擴展錢包在處理消息之前是否已檢查消息來源?
●?應用程序是否實現了有效的內容安全策略?
Electron桌面錢包
在編寫了web應用程序的代碼之后,為什么不用這些代碼來建造一個Electron中桌面應用程序呢?
在以往測試過的桌面錢包中,大約80%的桌面錢包是基于Electron框架的。在測試基于Electron的桌面應用程序時,不僅要尋找web應用程序中可能存在的漏洞,還要檢查Electron配置是否安全。
CertiK曾針對Electron的桌面應用程序漏洞進行了分析,你可以點擊訪問此文章了解詳情。
以下是基于Electron的桌面錢包受評估時要增加檢查的審計類目:
●?應用程序使用什么版本的Electron?
●?應用程序是否加載遠程內容?
●?應用程序是否禁用“nodeIntegration”和“enableRemoteModule”?
●?應用程序是否啟用了“contextisolation”,“sandbox”and“webSecurity”選項?
●?應用程序是否允許用戶在同一窗口中從當前錢包頁面跳轉到任意的外部頁面?
●?應用程序是否實現了有效的內容安全策略?
●preloadscript是否包含可能被濫用的代碼?
●應用程序是否將用戶輸入直接傳遞到危險函數中(如“openExternal”)?
●?應用程序會使不安全的自定義協議嗎?
服務器端漏洞檢查列表
在我們測試過的加密錢包應用程序中,有一半以上是沒有中心化服務器的,他們直接與區塊鏈節點相連。
CertiK技術團隊認為這是減少攻擊面和保護用戶隱私的方法。
但是,如果應用程序希望為客戶提供除了帳戶管理和令牌傳輸之外的更多功能,那么該應用程序可能需要一個帶有數據庫和服務器端代碼的中心化服務器。
服務器端組件要測試的項目高度依賴于應用程序特性。
根據在研究以及與客戶接觸中發現的服務器端漏洞,我們編寫了下文的漏洞檢查表。當然,它并不包含所有可能產生的服務器端漏洞。
●?認證和授權
●?KYC及其有效性
●?競賽條件
●?云端服務器配置錯誤
●?Web服務器配置錯誤
●?不安全的直接對象引用(IDOR)
●?服務端請求偽造(SSRF)
●?不安全的文件上傳
●?任何類型的注入(SQL,命令,template)漏洞
●?任意文件讀/寫
●?業務邏輯錯誤
●?速率限制
●?拒絕服務
●?信息泄漏
總結
隨著技術的發展,黑客們實施的欺詐和攻擊手段也越來越多樣化。
CertiK安全技術團隊希望通過對加密錢包安全隱患的分享讓用戶更清楚的認識和了解數字貨幣錢包的安全性問題、提高警惕。
現階段,許多開發團隊對于安全的問題重視程度遠遠低于對于業務的重視程度,對自身的錢包產品并未做到足夠的安全防護。通過分享加密錢包的安全審計類目,CertiK期望加密錢包項目方對于產品的安全標準擁有清晰的認知,從而促進產品安全升級,共同保護用戶資產的安全性。
數字貨幣攻擊是多技術維度的綜合攻擊,需要考慮到在數字貨幣管理流通過程中所有涉及到的應用安全,包括電腦硬件、區塊鏈軟件,錢包等區塊鏈服務軟件,智能合約等。
加密錢包需要重視對于潛在攻擊方式的檢測和監視,避免多次受到同一方式的攻擊,并且加強數字貨幣賬戶安全保護方法,使用物理加密的離線冷存儲來保存重要數字貨幣。除此之外,需要聘請專業的安全團隊進行網絡層面的測試,并通過遠程模擬攻擊來尋找漏洞。
歡迎搜索微信關注CertiK官方微信公眾號,點擊公眾號底部對話框,留言免費獲取咨詢及報價!
IPFS現在每一天都在被越來越多的人所關注,看著Fil的熱度如此之高,很多人都想參與進來分一杯羹,很多人就猶豫了,到底是參加挖礦好呢還是炒幣.
1900/1/1 0:00:00興盛的互聯網時代,成就了一眾依靠數據快速崛起的科技公司,但隨著數據孤島的表象越發明顯,科技企業的業務瓶頸也越發嚴重,增長遲滯,難見創新.
1900/1/1 0:00:00尊敬的CITEX用戶: CITEX將于2020年12月21日16:00:00(UTC8)下架BTM和BSV幣種及BTM/USDT,BTM/BTC,BSV/USDT.
1900/1/1 0:00:00尊敬的虎符用戶, 虎符將于2020年12月18日11:00(UTC8)重磅上線GRT/USDT和GRT/ETH交易對。充值已開啟,提現將于12月18日18:00(UTC8)開啟.
1900/1/1 0:00:00各位老鐵大家好,我是你們的朋友巴德。跟著我的客戶都是做了很久的,不是我帶他們收獲了多少,而是我用心在指導,毫無保留的教技術,經常熬夜盯盤。深夜告知客戶出場或進單.
1900/1/1 0:00:00又雙叒叕發生閃電貸攻擊了?今日上午6時34分,流動性LP代幣抵押借DeFi借貸協議WarpFinance遭遇閃電貸攻擊,被盜約780萬美元.
1900/1/1 0:00:00