8成数字货币钱包存安全隐患 加强安全审计刻不容缓
80%的数字货币钱包存在安全风险
随着区块链技术在官网的普及,数字货币逐渐进入公众视野,各种钱包门如雨后春笋般出现,但这些钱包的安全性令人担忧。
日前,在拉拉电脑社主办的青年精英论坛上,360集团信息安全部发布了《数字货币钱包安全白皮书》(简称“白皮书”)。白皮书指出,目前市场上最主流的近20款钱包中,80%存在安全隐患,加强钱包的安全审计刻不容缓。
“最近我们发现国外一款名为[Keyword 267]的著名钱包存在加密存储漏洞。首次运行钱包时,默认情况下,它会为用户创建一个新的钱包,并将未加密的钱包文件存储在本地系统中。攻击者可以读取存储的钱包文件,通过应用逆向分析等技术手段还原钱包的算法逻辑,从而直接恢复用户的助记符、根密钥等敏感数据。”在论坛上,一位安全人员说。
这样的例子还有很多。白皮书称,安全人员对拉拉、硬币发行、官方钱包等近20种数字货币通用钱包进行了模拟攻击,涉及钱包申请、货币交易、拉拉保护的全过程,从货币诞生到交易完成。有超过80%的数字货币钱包存在安全隐患,其中2 1%有截屏和录屏记录;26%没有检测系统运行环境;9%有钱包,伪造漏洞;6%的交易密码没有检测到弱密码;38%的核心代码没有加固。
安全人员在没有root权限(拉拉拉拉的最高权限)的情况下进行截图、录屏,可以获取助记符、交易密码等信息;利用Janus签名问题(签名漏洞允许攻击者绕过Lala系统的签名机制)伪造Lala;将拉拉植入恶意代码,可以修改转让方拉拉等。【关键词40】。这些都会直接威胁到数字货币中用户的安全。
根据白皮书,根据联网状态的不同,数字货币钱包可分为“热钱包”和“冷钱包”。总的来说,“热钱包”比“冷钱包”漏洞更多,攻击面也更多,需要用户和硬币发行方更多的保护。
360集团信息安全部负责人高雪峰表示,区块链兴起后,数字货币中钱包的相应安全标准严重滞后,大部分钱包开发团队没有本着业务优先的原则对安全提供足够的保护[keywords 15 1]。一旦黑客瞄准钱包,发现漏洞,就会对账户货币进行抢劫,而且由于数字货币的匿名性和不可追踪性,被盗后很难追回。
此外,白皮书还给出数字货币钱包的安全解决方案。该方案包括运行环境、协议交互、数据存储、功能设计、域名DNS等近50项内容。,可以实现对钱包的全方位保护。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。
