比特币行情·比特币价格
Ctrl+D收藏比特币行情网
ads

首先,|加密钱包安全审计清单:你的钱包安全吗?

作者:

时间:2021/2/1 18:15:32

首先,|加密钱包安全审计清单:你的钱包安全吗?

本文由Certik团队编写,授权金色财经开始。

在过去的一个月里,比特币的价值从18,000美元到20,000美元不等。货币圈宣布圣诞节前,比特币一定会上涨。

昨天晚上,BTC冲上了23000的上位。

在比特币上涨的领导下,货币圈疯狂,加密数字行情很受欢迎,以太网坊、瑞波货币、莱特货币等加密货币也很受欢迎。

从昨天晚上到今天,货币圈上演了大型真香现场,市场狂热的投资者陆续搏斗。

与2017年比特币狂欢相比,这次的上升趋势可能更加稳定。

2020年是所有人的特殊年份,疫情爆发,货币圈动荡。中心化金融DeFi的出现和发展热潮使块链再次受到关注。

随着新区块链项目的推出,两千多种加密资产,越来越多的加密钱包进入市场,越来越多的用户也开始涌入这一领域。

加密领域拥有的资产越来越大,安全危险危机也显现出来。

近年来,数字钱包安全事件频发。

去年11月19日,ArsTechnica报道,两个加密货币钱包数据泄露,220万个账户信息被盗。安全研究员TroyHunt证实,被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。

这不是Gatehub第一次泄露数据。据报道,去年6月,黑客入侵了约100个XRP、Ledger钱包,盗取了约1000万美元的资金。

动态|可信教育数字身份在广州白云区首次采用块链等技术:12月25日,可信教育数字身份(教育卡)广东省应用试验首次仪式和应用研讨在广州市白云区举行。

据介绍,信誉教育数字身份融合采用国产密码、块链等核心技术,创新发布云计算、边缘计算、移动计算网络环境下的一体化数字身份,实现一体化密钥管理,构建信誉教育身份链。(中国新闻网)[2019/12/25]

2019年3月29日,Bithumb盗窃事件引起了骚动。据推测,由于Bithumb拥有的g4ydomrxhege账户的私钥被黑客偷走了。

立即,黑客将被盗的资金分散到各交易所,包括火币、HitBTC、WB和EXmo。根据非官方数据和用户,Bithumb的损失达到300万个EOS货币(约1300万美元)和2000万个XRP货币(约600万美元)以上。

由于数字现金的匿名性和去中心化,盗窃资产在一定程度上很难回收。因此,钱包的安全性至关重要。

2020年8月9日,Certik的安全技术人员在DEFCON块链安全大会上发表了ExploitInsecurecryptoWallet(加密钱包脆弱性利用和分析)的主题报告书,共享了加密钱包安全的见解。

加密钱包是一款帮助用户管理账号,简化交易流程的应用。

一些块链项目发布加密钱包应用程序支持本链的发展。例如,用于Certik、Chain的Deepwallet。

另外,也有像Shapeshift这样的公司,构筑了支持不同块链协议的钱包。

最初的18000张BTC转账是交易所Bithumb内部整理:北京链条安全链条监视系统发现,北京时间10月24日,17:07分发生了18000张BTC转账,经过分析,实际上是交易所Bithumb的内部地址通常,对各种颜值的UTXO进行整数级别的整理,属于交易所的规律操作。[2019/10/24]

从安全的角度来看,加密钱包最重要的问题是防止攻击者窃取用户钱包的助记语和私钥等信息。

近年来,CertiK技术团队对多个加密钱包进行了测试和研究,分享了基于软件类型的加密钱包进行安全评价的方法和流程。

评价一个应用程序,首先要了解其工作原理→代码是否遵循最佳安全标准→如何修改和提高安全性不足的部分。

CertiK技术团队为加密钱包制作了基础审计清单,该清单反映了所有形式的加密钱包应用程序(手机、网络、扩展、桌面),特别是手机和网络钱包是如何生产和保存用户的私钥的。

APP如何生成私钥?

APP如何存储原始信息和私钥?

钱包连接的是可靠的块链节点吗?

APP允许用户配置自定义区块链节点吗?如果允许,恶意区块链节点会对应用产生什么影响?

APP连接中心化服务器?如果是的话,客户应用程序会向服务器发送什么信息?

APP需要用户设置安全性高的密码吗?

当用户试图访问敏感信息或转账时,APP是否需要二次验证?

首发|百度推进246家博物馆在线收藏:金色财经信息,最近百度超链与百度百科联合,根据块链技术制作文博艺术链,推进百科博物馆计划中的246家博物馆在线收藏。基于文博艺术链,百度与博物馆共同推进在线收藏版权的确认权和维护,探索在线收藏版权的数字交易方式,为合作博物馆提供更全面的服务和更多的权益。据介绍,该项目分阶段进行,一期完成在线收藏的链接确认权,为各收藏生产专用版权存款证明书。让每个用户在百度百科博物馆计划的个人电脑和WAP收藏页面上查看证书。之后,百度推进AI和块链技术在文博领域的结合应用,保障上链数据与收藏一致,为之后进行收藏图像版权的数字交易奠定基础。[2019/1/30]

应用程序使用了有漏洞可攻击的第三方库吗?

有没有秘密(例如API密钥、AWS证明书)在源代码存储库中泄漏?

有明显的不良代码实现(例如对密码学的错误理解)吗?

应用服务器是否强制TLS连接?

与笔记本电脑相比,手机等移动设备容易丢失或被盗。

在分析移动设备的威胁时,必须考虑攻击者可以直接访问用户设备的情况。

在评价过程中,如果攻击者获得访问用户设备的权限,或者用户设备感染恶意软件,我们需要设法识别账户和密码资产损坏的潜在问题。

除了基清单外,以下是评估手机钱包时增加检查的审计类别

APP警告用户不要截取敏感数据-显示敏感数据时,安卓应用会阻止用户截取吗?iOS应用警告用户不要切断敏感的数据吗?

金色首发EOS超级节点竞选投票率达6.49%:金色财经数据播报,截至北京时间6月13日15:50,EOS投票率达6.49%。EOS引力区和EOS佳能作为两个来自中国的超级节点竞选队伍,暂居第五和第六。其中EOS重力区的票总数为903万,占2.96%的EOS佳能票总数为877万,占2.87%。迄今为止异军突起的EOSflytomars暂时排名第17位,票总数为630万,占2.07%。现在进入前30名的超级节点选举队中,有8个来自中国的队伍。[2018/6/13]

APP在后台截图中泄露敏感信息?

APP检测设备是否越狱/root?

APP锁定后台服务器凭证吗?

app是否在程序标志中记录了敏感信息?

应用程序包括配置错误的deeplink和intent吗?

APP包包混码?

应用程序是否实现了反调试功能?

app查看app是否重新打包

(iOS)存储在iOSKeychain的数据有足够安全的属性吗?

应用程序是否受到锁链数据持久性的影响?

当用户输入敏感信息时,应用程序是否禁用定制键盘?

APP安全使用网站加载外部网站吗?

对于一个完全集中化的钱包来说,网络应用逐渐成为一个不受欢迎的选择。MyCrypto不允许用户在网络应用程序中使用密钥库/助记语/密钥访问钱包,MyEtherWallet也建议用户不要这样做。

IMEOS首次发表EOSGo,金色财经合作伙伴IMEOS报道,今天EOSGo在steemit发表了新的两个再选条件

1.保证安全的计划:候选节点是否在steemit上发表文章,介绍该节点的安全方法和计划,安全方法标准是向EOS候选人展示安全最佳实践知识和组织实施计划的机会

2.立场:该节点共享通货膨胀报酬和/或向EOS代币所有者分发红利的立场(候补节点在steemit发表)。主要说明以下两个问题

机构会因为什么原因给EOS令牌选民付费,包括BP选举和社区建议吗?

机构有书面的无产权证支付政策吗?如果是,请提供链接。[2018/4/27]

与在其他三种平台上运行的钱包相比,以网络应用程序的形式对钱包进行钓鱼攻击相对容易,攻击者侵入网络服务器时,可以向网页注入恶意的JavaScript,轻松窃取用户的钱包信息。

但是,安全构筑完全测试的网络钱包仍然是用户管理加密资产的唯一选择。

除了以上常规的基本审计类别之外,在评估客户端的网络钱包时,还列出了以下类别列表:

APP有跨站脚本XSS漏洞吗?

APP存在点击劫持漏洞吗?

APP是否有效的Content,SecurityPolicy?

APP有开放式重定向漏洞吗?

APP有HTML注入漏洞吗?

目前,使用cookie的网页钱包很少见,但如果有,请检查

Cookie属性。

越过车站要求伪造(CSRF)

跨域资源共享(CORS)配置错误。

这个应用程序包括基本钱包功能以外的功能吗?这些功能是否存在可用漏洞?

OWASPTop10中没有提到的漏洞。

Metamask是最著名和最常用的加密钱包之一,它以浏览器扩展的形式出现。

扩展钱包在内部的工作方式与网络应用非常相似。

不同之处在于它包含了被称为contentscript和backgroundscript的独特组件。

网站通过contentscript和backgroundscript传达事件和信息,与扩展页面交流。

在扩展钱包评估期间,最重要的一件事就是测试恶意网站是否可以在未经用户同意的情况下阅读或写入属于扩展钱包的数据。

除了基清单外,以下是在评估扩展钱包时增加检查的审计类别

扩张要求什么样的权限?

拓展app如何确定哪些网站允许与拓展钱包进行沟通?

扩展钱包如何与网页互动?

恶意网站可以通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面吗?

恶意网站未经用户同意可以读取或修改属于扩展的数据吗?

扩展钱包有点击劫持漏洞吗?

扩展钱包在处理信息之前检查了信息来源吗?

应用程序是否实现了有效的内容安全战略?

网络app编码后,为什么不用这些代码来制作Electron中的桌面app呢?

在以往测试过的桌面钱包中,约80%的桌面钱包是基于Electron框架。在测试基于Electron的桌面应用程序时,不仅要检查网络应用程序中可能存在的漏洞,还要检查Electron的配置是否安全。

CertiK分析了Electron的桌面应用程序的脆弱性,可以点击访问这篇文章了解详情。

基于Electron的桌面钱包在评价时增加了检查的审计类别

APP用什么版本的Electron?

APP加载远程内容?

应用是否禁用nodeIntegration和enableRemoteModule?

应用程序是否启用了网络选项?

APP是否允许用户在同一个窗口中从现在的钱包页面跳转到任何外部页面?

app是否实现了有效的内容安全策略?

preloadscript包含可能被滥用的代码吗?

APP直接将用户输入到危险函数中(如openexternal)?

APP会使不安全的定制协议吗?

在我们测试的加密钱包应用程序中,一半以上没有中心服务器,他们直接连接块链节点。

CertiK技术团队认为这是减少攻击面和保护用户隐私的方法。

但是,如果app想要为客户提供更多的功能,除了账号管理和代码传输之外,那么这个app可能需要拥有数据库和服务器端代码的中心化服务器。

服务器组件测试的项目依赖于应用特性。

根据研究和与客户接触发现的服务器终端漏洞,编写了以下漏洞检查表。当然,不包括可能发生的服务器方面的漏洞。

认证和授权。

KYC及其有效性。

比赛条件。

云服务器配置错误。

网络服务器配置错误。

不安全的直接对象引用(IDOR)

服务方要求伪造(SSRF)

不安全的文件上传。

任何类型的注入(SQL、命令、template)漏洞。

任意文件读/写。

业务逻辑是错误的。

速度有限。

拒绝服务。

信息泄露了。

随着技术的发展,黑客们实施的欺诈和攻击手段也越来越多样化。

CertiK安全技术团队希望通过分享加密钱包的安全隐患,让用户更清楚地了解数字现金钱包的安全问题,提高警惕。

现阶段,许多开发团队对安全问题的重视程度远低于对业务的重视程度,对自己的钱包产品没有充分的安全防护。通过共享加密钱包的安全审计类别,CertiK期待加密钱包项目方对产品安全标准有明确的认知,促进产品安全升级,共同保护用户资产安全。

数字现金攻击是多技术维度的综合攻击,需要考虑数字现金管理流通过程中涉及的应用安全,包括计算机硬件、块链软件、钱包等块链服务软件、智能合同等。

加密钱包需要重视潜在攻击方式的检测和监视,避免多次受到同一方式的攻击,加强数字现金账户的安全保护方法,使用物理加密的离线冷冻库存保存重要的数字现金。此外,还需要聘请专业的安全团队进行网络水平测试,通过远程模拟攻击寻找脆弱性。

本文由Certik团队编写,授权金色财经开始。

应用程序包括配置错误的deeplink和intent吗?

标签:

okex热门资讯
暴露矿山机必须说那些事情(1):细数比特币开采的风险

暴露矿山机必须说那些事情(1):细数比特币开采的风险。 前言:上周五,云话你知道第二期社区AMA以暴露矿山机不得不说那些事为主题,在云矿山智能管理平台上开始了10组、云矿山宝物9组等多个社区。 云尔的老铁们反应很热烈,老铁在现场直播活动中向神马M31S的矿山机儿,让宝宝看到了矿山多土豪这个词。

2021/2/1 18:16:57
第一次|块链硬核分析(1):块链是共享数据库吗?

第一次|块链硬核分析(1):块链是共享数据库吗? 近年来,学术和行业对区块链的理解和应用产生了很多误解,本人也在过去的文章中逐渐明确和重新定义。但是,总觉得意思还没有结束,没有特别的立题。最近,由于设计了分布式产业合作模型,每次块链技术运用都需要一系列的文章来说明这些误解。希望通过本人的反复倡导,为块链产业的运用提供更多的方案和定义。

2021/2/1 18:16:25
首发|WarpFinance闪电贷款攻击事件分析

首发|WarpFinance闪电贷款攻击事件分析。 100元纸币,能做的事非常多,买早餐,买菜,炒股,旅行,折纸飞机,壁纸贴在墙上。 功能太多,反而产生了各种形式的钱。 例如,存储在银行卡中的数字,存储在支付宝等应用程序中的数字,存储在股票基金中的数字,或者借书中的一句话。 闪电贷款作为新的金融产品,被认为是金融领域块链应用的一大跳跃进步。

2021/2/1 18:15:53
DeFi行业的本质研究:触发算子

DeFi行业的本质研究:触发算子。 为什么会有触发算子?合同内部逻辑满足一定条件时,需要改变合同状态。此时,合同不会自动实现,需要外部操作来触发。这是由中本智能结构下智能合同的本质决定的所有操作都是全球拍卖。许多试图触发自动化的设计,但没有认真考虑这个游戏的问题。强制排序的话,游戏冲突的可能性很高:攻击/套期保值,更本质上,有对链条行为的优势战略。

2021/2/1 18:15:06
家里有矿:金贝HS3-SE评价

家里有矿:金贝HS3-SE评价。 矿山圈一直在业界神秘,随着业界的成熟,矿山也逐渐由个人参与专业团队化运营转变,大家参加的初衷也从感兴趣的新兴极客项目转变为长期稳定的投资回报项目。

2021/2/1 18:14:49
GalaxyDigital进入采矿领域,为矿工提供一站式金融服务

GalaxyDigital进入采矿领域,为矿工提供一站式金融服务。 GalaxyDigital是Mike的Novogratz创立的金融服务和加密货币投资管理公司,着眼于比特币(BTC)开采领域。

2021/2/1 18:13:12
ads