近年來,加密錢包安全事件頻發。
根據慢霧MistTrack所接觸的受害者信息收集整理,錢包被盜的事件占比高達60%,顯而易見錢包是最有利可圖的目標,因此,錢包的安全性至關重要,當然,對錢包進行安全審計更是重中之重。
作為在區塊鏈耕耘已久的一員,慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包,如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性,慢霧科技在已有審計項的基礎上進行擴展,新增了對擴展/插件錢包的審計。
下面讓我們以問答形式來一睹為快!
插件錢包與常說的“錢包”有什么不同?
?
插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。
慢霧區“被黑檔案庫”新增Base分類:金色財經報道,Base鏈上項目發生多起被黑客攻擊事件(包括 Rug pull),慢霧區“被黑檔案庫(SlowMist Hacked)”新增Base分類。[2023/9/7 13:24:38]
插件錢包管理的助記詞/私鑰是與DApp相互隔離的,理論上第三方組件(如:DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊,所以安全性有一定的保證。
插件錢包配置簡單,使用更方便,在官方渠道下載安裝后勾選開啟插件,使用時點擊圖標就可進入錢包,并且使用錢包管理助記詞/私鑰。
插件錢包的助記詞/私鑰的管理操作更方便和安全,僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬,簽名一筆交易,或者管理助記詞/私鑰。
慢霧在插件錢包安全方面有什么研究?
慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]
?
慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成,助記詞/私鑰的存儲,助記詞/私鑰的使用,助記詞/私鑰的備份,助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究,并梳理插件錢包安全的最佳實踐,并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。
慢霧余弦:多數穩定幣都有拉黑地址操作,未來或看到更多黑地址:金色財經報道,慢霧科技創始人余弦剛剛發微博稱,不少人驚訝USDT、USDC有拉黑地址的操作,其實GUSD、PAX、TUSD等知名穩定幣都有。智能合約代碼就在那,設計文檔就在那,都能看到可以滿足AML(反洗錢)/CTF(反恐融資) 的設計,從誕生起就有的設計。未來可以看到更多黑地址的出現。AML/CTF如果精準,那絕對是好事,當然如果誤傷,那就麻煩了。 ????[2020/7/11]
如:
1.某些場景下可通過DApp頁面獲取助記詞/私鑰;
2.某些場景下可通過跨域方式獲取助記詞/私鑰;
3.某些場景下可在錢包鎖定后獲取助記詞/私鑰;
4.某些場景下可構造簽名數據進行假充值/假轉賬。
(攻擊面很多,歡迎來撩:-))
金色財經獨家采訪 慢霧科技:此次EOS漏洞是真實存在的并且可信度非常高:今日,360表示EOS網絡存在漏洞,對此,金色財經獨家采訪了慢霧科技,慢霧科技表示:這個漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超級節點服務器的權限,360所描述的史詩級漏洞,這種表述不過分。360沒有披露漏洞細節是可以理解的,此次漏洞是在EOS網絡上發布的惡意智能合約,該智能合約可以同步到區塊鏈網絡上,每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透,打穿虛擬機到服務器,從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[2018/5/29]
慢霧對插件錢包的整體安全審計是什么樣的?
?
慢霧安全團隊對錢包的審計涵蓋滲透測試內容,且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案,還會提出建議執行的安全增強點或最佳安全實踐,以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據,并根據項目方需求出具專業的安全審計報告。具體可參考:
https://www.slowmist.com/service-wallet-security-audit.html
當慢霧在審計插件錢包時,慢霧在審什么?
?
對于任何一款錢包來說,賬戶安全/私鑰安全都是極為重要的。因此,我們在對擴展/插件錢包進行審計時,仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖:
插件錢包安全審計主要使用哪些測試方式?
?
我們主要采用“黑盒與灰盒結合為主,白盒為輔”的方式。
黑盒測試:站在外部從攻擊者角度進行安全測試。
灰盒測試:通過腳本工具對代碼模塊進行安全測試,觀察內部運行狀態,挖掘弱點。
白盒測試:基于項目的源代碼,進行脆弱性分析和漏洞挖掘。
如何理解漏洞等級?
?
嚴重漏洞:會對項目的安全造成重大影響。
高危漏洞:會影響項目的正常運行。
中危漏洞:會影響項目的運行。
低危漏洞:可能在特定場景中會影響項目的業務操作。
弱點:理論上存在安全隱患,但工程上極難復現。
增強建議:編碼或架構存在更好的實踐方法。
對插件錢包有什么展望?
?
隨著區塊鏈產業的多鏈多元化發展,插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包,例如:波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展,還是很可觀的,非常值得關注。
有什么想對大家說的?
?
加密錢包審計重點在于解決常見的安全漏洞,規避可能出現的安全風險。作為用戶,希望能增強安全意識,不要隨意泄露助記詞/私鑰。作為項目方,對于安全問題的重視程度遠遠不夠,希望加密錢包項目方對于安全標準能有更好的認識,與我們一起共同保護用戶資產的安全。
來源鏈接:mp.weixin.qq.com
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/10227688.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
比爾·蓋茨再談ChatGPT:將改變我們的世界!
尊敬的用戶: 由于節點升級,AT/AIOT現已暫時關閉充提,具體恢復時間,請您以公告為準,為您帶來不便,盡請諒解.
1900/1/1 0:00:00尊敬的ZT用戶: ZT創新板即將上線CybrrrDOGE,并開啟CybrrrDOGE/USDT交易對.
1900/1/1 0:00:00鏈聞消息,美國參議員RobPortman為美國基礎設施法案中的加密納稅申報條款辯護,稱比特幣和其他加密貨幣等數字資產是經濟中快速增長的一部分,對應的底層分布式賬本和區塊鏈技術有很多應用.
1900/1/1 0:00:00尊敬的用戶: 由于當前部分ETF產品的單價過低,為提高價格的有效性,BiKi平臺將在?8月3號19:30-23:30期間啟動份額合并機制,即對ETF幣對份額進行100份合并為1份的操作.
1900/1/1 0:00:00當你迷茫時,看看數據,數據不會說謊,也可以反應“聰明錢”的方向,中心化交易所中的比特幣,月度流出量達到10萬枚,比特幣活躍地址數,從一個月前的低迷階段增長30%,至32.5萬.
1900/1/1 0:00:00據Newsbitcoin8月2日消息,支付巨頭萬事達首席執行官MichaelMiebach在上周四的公司收益電話會議上概述了該公司圍繞加密貨幣、穩定幣和央行數字貨幣開發產品和服務的計劃.
1900/1/1 0:00:00