根据区块链安全网统计,在过去的7年中,行业内发生的各类安全事件造成经济损失高达约29亿美元。即使在区块链安全防护技术飞速发展的今天,安全事件却仍层出不穷。2018年9月14日至17日,日本加密货币交易所Zaif证实遭受黑客重大攻击事件,交易所热钱包中大量比特币等被盗,损失总计约67亿日元。而Zaif仅为在日交易量排名第108的一个小型交易所。
在了解钱包分类后,安全链实验室将为大家科普数字钱包目前存在的安全隐患,以便防患于未然,或在遭遇攻击时对症下药。
▪️交易密码、助记词泄露带来的安全隐患
大多数用户习惯性使用同一个账户名和密码使用在许多网站上,只要有一个网站被黑客攻击成功,都可能被用于对交易所账户系统的登录攻击。
利用本地提权漏洞可以轻易打破操作系统的安全设计边界,获得访问用户私钥/助记词的能力。
硬件漏洞可以使攻击者利用CPU架构设计上的瑕疵,直接通过CPU在处理机密信息时留下的Cache内容读取到私钥/助记词内容。
对于某些钱包产品,如比特派,输入交易密码时存在可录屏漏洞,可推出交易密码。
▪️钱包应用运行环境带来的安全隐患
经安全链实验室分析,目前市场上近八成的钱包应用未对运行环境安全做安全检测,无法保证用户应用运行环境安全,导致用户钱财受到损失。
1️⃣网络代理
如果当前网络使用代理,那么就有可能在数据交互的过程中被第三方监听,造成数据泄露甚至是敏感数据泄露。
2️⃣手机漏洞
如果手机存在已经披露过的系统漏洞,那么就时刻处于被黑客攻击的风险之下。如果存在可提权或者可以获取到助记词等敏感数据的漏洞,那么用户账户就会暴露在一个极其危险的环境下。
3️⃣其他
发送到第三方API的任何用户详细信息都很容易受到攻击,对SSLStrip等通用MitM攻击几乎不存在任何保护。
▪️交易密码被暴力猜解带来的安全隐患
大部分数字货币钱包在第一次运行时会提示用户是否创建新钱包,当用户创建新钱包后,数字货币钱包会通过一系列算法生成私钥,正常情况下该私钥并不会展示给用户,而是会通过助记词的形式提示用户进行钱包的备份操作。
在钱包初始化后,会提示用户输入一个交易密钥,该交易密钥用于交易之前的私钥解密推导,当发生交易时,通过输入的交易密钥结合算法进行私钥的计算,生成的私钥用于交易的签名,如果数字货币钱包的交易密码设置不够强,非常容易被暴力破解,当交易密钥被暴力破解,整个钱包相当于处于没有任何防护的状态,任何人都可以对钱包进行操作,包括转账等。
例如Kcash, 直接使用六位数字当作交易密码,且没有设置尝试次数,可以直接被暴力破解出来,进行交易。
▪️钱包应用伪造漏洞带来的安全隐患
应用被黑客逆向后加入恶意代码,回传敏感信息如助记词,修改交易收款方地址等,对用户会造成直接钱财损失。同时,应用本身如果对软件完整性未做严格的校验,同样可以导致相关事件发生。
例如2017年底出现的Janus签名漏洞,在修改安卓应用后,利用Janus漏洞对其进行特殊处理,可以绕过安卓系统的签名校验对原应用进行更新操作。如果数字货币钱包被修改,植入恶意代码,比如将转账的地址全部替换成攻击者的收款地址,如果用户使用伪造的数字货币钱包进行更新并且进行转账操作,会造成不可估量的损失和后果。
▪️核心功能代码未加固带来的安全隐患
安卓应用由于其使用Java语言开发,在未使用加固的情况下十分容易被反编译出近似源码的效果。
而其使用的Smali语言也相对容易掌握,所以在不加固的情况下,数字货币钱包十分容易被重打包,重打包的效果如上面提到的伪造漏洞一样,给用户使用上造成直接的损失。同时,关键信息的泄露也会让黑客更加容易分析代码逻辑,将于助记词使用相关的算法进行提取,逆向分析出加解密流程,利用其它漏洞进行盗取助记词等信息。
▪️钱包敏感信息不正确存储带来的安全隐患
在数字货币世界中,最关键的就是私钥。如果数字货币钱包对助记词或者私钥进行了不恰当的本地存储,将会是一个高危风险。
▪️网络数据交互被劫持篡改带来的安全隐患
当用户通过数字货币钱包进行交易,是否使用合适的加密算法对交易数据进行加密是衡量网络连接安全的一个重要维度,不仅仅需要注意其是否对数据进行加密,还要注意是否将助记词、私钥等数据传输回服务器。
另外,当钱包存在交易功能之后,对于当前货币价格的展示,在网络数据交互过程中可以进行劫持篡改数据。这样,对用户展示页面也就是黑客希望用户看到的货币价格,间接地诱导用户对该货币进行交易,炒作某一货币的兑换价值,在短时间内大量买卖,间接控制相关价格。
现阶段的市场上,存在着大量良莠不齐的数字货币钱包产品。安全链实验室建议,开发团队重视安全隐患,专注于钱包产品的安全性加固。由于数字货币的特殊性,被盗资产非常难以追回,用户同时也应即使了解各类钱包安全风险,关注安全领域最新动态,保护自身财产不受损失。
Security Chain 安全链实验室
Security Chain, the world’s first decentralized security defense system. We build security ecological circle consisting of security elites, top hackers and white hats in the world through Blockchain technology and certification. It solves the problem of security attack and defense from the underlying structure and breaks the centralized security monopoly in the Internet era. Security Chain becomes an indispensable support for major exchanges, wallets, and Blockchain projects. The core community and founding R&D have set up projects sites in Beijing, Shanghai, Shenzhen, Taipei of China, and Silicon Valley of US and Singapore.
安全链实验室,全球首个去中心化安全防御体系。通过区块链技术与经济激励,搭建世界安全精英、顶级黑客与白帽组织的安防生态圈,从底层结构解决安全攻防问题,打破互联网时代的中心化安防垄断。成为各大交易所、钱包以及区块链项目必不可少的坚强后盾。核心社群与初始研发已在中国北京、上海、深圳、中国台北、美国硅谷、新加坡等地设立了项目驻点。
解决安全领域相关问题或了解Security Chain更多动态,欢迎联系 & follow我们。
点击合作邮箱 [email protected]
Facebook:https://www.facebook.com/SECCchain/
Twitter:https://twitter.com/SECChain
Reddit:https://www.reddit.com/user/SECChain/
Medium:https://medium.com/@securitychain
扫码关注微信公众号 (ID: SecurityChain_SECC)
