區塊鏈:區塊鏈安全100問 | 第三篇：數字錢包面臨的安全風險_APP

零時科技區塊鏈安全100問正式上線，以通俗易懂的語言形式為大家講解區塊鏈行業知識，以及區塊鏈生態應用存在的安全問題，讓更多人了解區塊鏈及區塊鏈安全。

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

1-數字錢包是什么？

區塊鏈數字錢包是存儲和管理、使用數字貨幣的工具，在區塊鏈領域有舉足輕重的地位，是用戶接觸數字貨幣的入口。

錢包在形態上，可以劃分成為軟件錢包和硬件錢包。軟件錢包就是一個APP，裝在我們的手機上，硬件錢包就是專門有一個設備來存儲這個私鑰。

Pantera Capital CEO：未來將有數十億人使用區塊鏈技術:金色財經報道，機構資產管理公司Pantera Capital 的?CEO Dan Morehead在接受 CNBC采訪時表示，由于加密貨幣可以為貨幣網絡提供優勢，它們將在不久的將來變得非常流行。我可以看到幾年后的世界，風險資產可能仍在苦苦掙扎，但區塊鏈將基于其自身的基本面回到歷史高位。

今天有數以億計的人使用區塊鏈，但我認為在四五年內，將有數十億人，如果你有十億人，他們想購買固定數量的硬幣，所以價格可能會上漲向上。[2022/9/25 7:20:01]

按照私鑰和簽名這個動作是否永遠離線來區分，可分為熱錢包和冷錢包。

根據私鑰的存儲和簽名發起方式區分，可以分為中心化錢包和去中心化錢包，基于區塊鏈的加密數字資產的使用，大多都是用去中心化錢包。

在美上市區塊鏈中概股漲跌各異:今日美股收盤，在美上市區塊鏈中概股漲跌各異。嘉楠科技收漲9.62%，人人網收漲2.22%，中網載線收跌1.34%，寺庫收跌4.24%，迅雷收漲4.6%，獵豹移動收跌3.33%，蘭亭集勢收漲7.56%。[2020/11/12 12:23:05]

2-數字錢包面臨的安全風險有哪些？

區塊鏈數字錢包存在多種形式，面臨的安全風險也是多樣性的，主要面臨的安全風險包括但不限于如下幾方面：

1、運行環境的安全風險

加密數字貨幣錢包最核心的文件——私鑰/助記詞是存儲在終端設備上的，無論是PC端還是移動端，終端設備如果出現不安全的現象，對于私鑰/助記詞來說是有非常高的安全風險。

一個安全的數字錢包，在設計之初就應該避免因為運行環境而導致的私鑰/助記詞存在被盜可能。終端上運行環境的安全問題主要包括病軟件、操作系統漏洞和硬件漏洞等。

在美上市區塊鏈中概股普遍收跌:今日美股收盤，在美上市區塊鏈中概股普遍收跌。嘉楠科技收跌1.52%，人人網收跌3.3%，中網載線收跌1.69%，寺庫收跌2.97%，迅雷收跌2.17%，獵豹移動收漲4.31%，蘭亭集勢收跌3.94%。[2020/8/27]

2、網絡傳輸的安全風險

網絡傳輸的安全性更多地體現在是否有良好的對抗中間人攻擊的能力上。中間人攻擊是指攻擊者與通訊的兩端分別創建獨立的聯系，并交換其所收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。

安全的數字錢包需要能夠對終端里面全部的數字證書的合法性進行掃描、對網絡傳輸過程中的代理設置進行檢查并能夠保障基礎的網絡通訊環境的安全性。

在數字錢包的開發中，在網絡傳輸層面是否使用雙向校驗的方式進行通訊驗證也是衡量一個數字錢包應用安全性的重要評判標準。

現場 | 鄒濤：場景驅動的區塊鏈生態才是好的生態:金色財經現場報道，螞蟻金服集團創新科技事業部商務總監鄒濤在10月10日舉行的2018可信區塊鏈峰會-金融區塊鏈技術與應用峰會上表示，“生態”幾乎成為所有ICO白皮書中最高頻的詞匯，但是缺乏場景支持的生態必然亂象叢生。當前區塊鏈產業最大的困惑在于模式不清，盈利缺失。而好的區塊鏈項目、區塊鏈生態要具備三點要素：解決實體痛點、創造增值價值、模式可持續。鄒濤表示，螞蟻金服將積極參與行業生態組織，聯合高校攻克核心技術，同時探索項目落地。鄒濤強調，“用戶價值”的創造是螞蟻區塊鏈唯一的努力方向。[2018/10/10]

3、文件存儲方式的安全風險

對于數字錢包的私鑰/助記詞，終端設備的存儲方式也是需要在安全性設計上加以注意的。私鑰/助記詞文件存放目錄的訪問權限、私鑰/助記詞存儲的形式和加密算法設計都需要通過嚴密設計。

巴林欲推出基于區塊鏈的車輛登記系統:近日巴林交通總局（GDT）宣布它將推出基于區塊鏈技術的全國車輛登記系統。根據巴林官方新聞媒體報道，目前GDT正在尋找一個“設計和實施”其新平臺的技術合作伙伴。[2018/5/11]

在對多款主流數字錢包進行安全性分析時，我們發現即使是知名的數字錢包，在私鑰/助記詞的存儲上也是比較隨意的。既有明文存儲，也有加密存儲，但是解密的密鑰卻是在代碼里面固定寫死的，起不到任何的安全防御作用。

4、應用自身的安全風險

應用自身的安全風險主要集中在應用安裝包自身的安全防御上。

應用安裝包是否具備抗篡改能力。另外，應用運行過程中的內存安全、反調試、私鑰/助記詞使用的生命周期管理、調試日志的安全性、開發流程的安全等方面也是需要去設計增強的。

5、數據備份的安全風險

如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。舉例來說，如果終端設備上允許數據備份，那么就可以利用系統的備份機制對應用的數據文件進行備份，而加密數字貨幣的私鑰/助記詞也就被備份到外部介質了，這就從另外一個方向打破了操作系統的安全邊界設計。

對于廣大用戶來說，數字錢包的安全也意味著財富的安全，所以我們在選擇數字錢包時一定要慎重對待，不可掉以輕心。

3-數字錢包該如何進行安全審計？

無論是中心化還是去中心化錢包，軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試，針對數字錢包的安全審計包括但不限于如下測試項：

1、網絡和通信安全測試

網絡節點應達到及時發現和抵抗網絡攻擊的功能；2、錢包運行環境安全

錢包能夠對操作系統進行已知重大漏洞進行檢測，虛擬機檢測，完整性檢測；數字錢包需具有第三方程序劫持檢測功能，防止第三方程序劫持錢包盜取相關用戶信息。3、錢包認證安全

錢包認證過程中必須設置錢包解鎖密碼用于解鎖錢包，防止設備丟失后錢包信息被竊取；使用錢包進行交易簽名必須設置支付密碼，防止解鎖后解密的私鑰被竊取；使用錢包日志功能必須設置日志密碼，防止錢包密碼丟失后攻擊者直接清除錢包操作日志；交易密碼需使用多因素認證，例如：指紋、面部識別、OTP令牌、短信驗證碼等，防止密碼泄露導致私鑰丟失。4、錢包交易安全

錢包發出的所有交易必須進行簽名，簽名時必須通過輸入支付密碼解密私鑰，交易簽名生成后必須清除內存中解密后的私鑰，防止內存中的私鑰被竊取而泄漏等。5、錢包日志安全

為了方便用戶進行審計錢包操作行為，防止異常操作和未授權的操作，需記錄錢包的操作日志，同時錢包日志必須通過脫敏處理，不得含有機密信息。6、節點安全審計

錢包節點應能記錄用戶的連接記錄、交易記錄，能夠保存審計記錄的過程和結果，便于管理員進行查詢；必須對節點服務器進行安全設計和安全加固。7、節點接口安全審計

接口需要對數據進行簽名，防止黑客對數據被篡改；接口訪問需要添加token認證機制，防止黑客進行重放攻擊；節點接口需要對用戶連接速率進行限制，防止黑客模擬用戶操作進行CC攻擊。8、數據存儲安全

錢包生成的私鑰必須通過加密算法加密后才能進行存儲，同時錢包的本地靜態文件不得含有明文的敏感信息。9、數據的備份與回復

錢包生成的私鑰或者助記詞，必須在確保安全的情況下進行備份處理，避免私鑰意外丟失導致資金無法找回。如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。10、靜態代碼安全審計

錢包APP必須進行正規的代碼審計，以確保錢包不會有額外功能權限用來收集用戶私鑰，保證APP本身的安全性。

區塊鏈安全100問正在持續更新，歡迎大家后臺發送自己的觀點，如有對區塊鏈行業及應用有獨到見解或者疑問的朋友直接評論區留言哦！我們會把相關問題統計整理，為大家解答哦！?

Tags：區塊鏈數字錢包數字貨幣APPwpc幣區塊鏈數字錢包的錢怎么轉到銀行卡里數字貨幣交易所開發違法嗎appc幣最新消息

XLM