首页>>技术前沿>>网站/软件行业动态近日中国最大互联网安全公司360集团信息安全部发布数字货币钱包安全白皮书称,目前市场上最为主流的近20多款数字货币钱包八成存在安全隐患,加强对“数字货币钱包”的安全审计刻不容缓。
安全人员对市场上主流的近20款数字货币钱包APP进行模拟攻击,攻击涉及使用钱包应用、货币交易、软件防护从货币出生到交易完成的全流程。存在安全隐患的数字货币钱包超过8成,其中21%操作存在被截屏、录屏记录;26%未检测到系统运行环境;9%存在钱包APP伪造漏洞;6%交易密码未检测弱口令;38%核心代码未加固等。
根据使用时的联网状态不同,数字货币钱包分为“热钱包”和“冷钱包”。总体上来说“热钱包”漏洞多于“冷钱包”,攻击面更多,更需要用户和交易所加强保护 。现在大家普遍使用手机APP钱包来保存数字货币。APP钱包会为用户随机生成一个公钥和一个私钥,并且不会把数据上传到APP的服务器上,也就说这个私钥是用户个人私有的。即使未来用户改用了其他的数字钱包,也能随时把这个私钥对应地址上的数字货币导入新的钱包。为了保护用户的数字货币,APP钱包都会提供多重加密保护,比如登陆密码与交易密码。但是APP钱包通常不保存用户密码和助记词,不能提供重置和找回功能,如果用户忘记密码,只能将钱包删除后,使用钱包备份重新导入钱包设置新密码。
安全人员在无root权限下的截屏、录屏可以得到助记词,交易密码等信息;利用Janus签名问题对APP进行伪造;将软件植入恶意代码,可以修改转账人地址等操作。这些都会直接威胁用户数字货币安全。
区块链兴起后,数字货币钱包产生太快,相应安全标准严重滞后,大部分钱包开发团队以业务优先原则,对安全性未做足够的防护。黑客一旦瞄准“钱包”,找到漏洞,就会将账户货币洗劫一空,且由于数字货币匿名、不可追踪等特性,被盗后难以追回。
白皮书也给出了数字货币钱包的安全解决方案。方案包括对运行环境、协议交互、数据存储、功能设计、域名DNS等近50个项目进行安全审计检测,可实现对“钱包”的全方位保护。总而言之,数字货币钱包这个概念并没有那么高深莫测,它只是一个软件,和现实生活中的钱包一样,钱包本身不重要,钱包里装的私钥才是最重要的,这些私钥一定要小心保管。作为新手用热钱包比较方便,不过最好是要保存在冷钱包里,因为一旦泄露出去,你的币可能就会丢了。
【全文完】
版权声明:
1、弈聪软件网站内容中凡注明“来源:XXX(非陕西弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有,任何人转载请署名来源,否则陕西弈聪将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
企业动态
