行业观察80%钱包存在安全漏洞钱包安全如何保障？

近两年来，区块链行业发展如火如荼，数字货币钱包的数量也与日俱增。但值得注意的是，大部分钱包开发团队普遍遵循业务优先原则，对自身钱包产品的安全性尚未足够重视，且相应安全标准严重滞后，安全防护落后。

2016.6

基于以太坊的众筹项目TheDAO遭到攻击，导致300多万以太坊损失

2017.7

以太坊钱包Parity被盗，导致15万以太坊损失

2017.11

Parity钱包再次出现Bug，导致 93 万个以太坊被冻结，价值 2.8 亿美金

2018.1

日本最大比特币交易所Coincheck被黑，价值5.3亿美金的NEM被盗

......

据成都链安调查，目前市场上最为主流的近20多款数字货币钱包近八成都存在安全隐患，主要风险有：

用户操作被截屏/录屏记录

未监测软件运行环境安全

交易密码未检测弱口令

核心功能代码未加固

钱包APP伪造漏洞

黑客一旦瞄准『钱包』，找到漏洞，就会将账户货币洗劫一空，且由于数字货币匿名、不可追踪等特性，资产一旦被盗，无法挂失难以追回。因此，加强对数字货币钱包的安全防护刻不容缓。

为保障钱包安全、保护用户资产，成都链安推出数字钱包安全解决方案。方案从安全评估设计-安全审计-安全威胁发现（渗透测试）-出具检测和审计报告形成闭环，全方面保障钱包安全。

方案针对钱包风险项目进行全方位的黑盒+灰盒安全审计：

WEB网站渗透和审计服务

分类

项目

代码审计项

安全漏洞覆盖：OWASP,CWE,SANS,PCI,SOX,GDPR

密码明文存储，调试程序残留，反序列化等

错误的类修饰符，未使用的引用和方法等

不安全的文件访问，内存泄漏等

数据库权限，WEB服务权限等错误配置

业务逻辑错误

异常处理不完善

危险系统方法调用

不安全的数据库调用

随机数问题，不安全的字符串操作

渗透测试检测项

XSS跨站漏洞

文件上传漏洞

CSRF

SQL注入漏洞

代码执行漏洞

命令执行漏洞

暴力破解

未授权操作

越权操作

弱口令

主机系统漏洞

安全误配置

业务逻辑漏洞

WEB应用渗透测试项

拒绝服务攻击 (Slow HTTP DoS)

文件泄露

错误的安全配置

远程文件包含漏洞检测

本地文件上传漏洞检测

cdn、waf 配置安全检测

存储服务安全配置检测

服务器端口服务安全检测

心脏滴血漏洞

Api接口安全检测

COOKIE注入、劫持

缓冲区溢出（本地）

缓冲区溢出（远程）

PHP CGI 远程代码执行

struct2系列

Java反序列化

WEB前端跨域安全配置检测

验证码爆破和绕过

APP渗透测试项

用户注册、登录、交易时网络数据是否进行加密

客户端使用的加密算法是否在Java层实现

APP可重编译插入恶意代码

so层的加密算法是否可被hook直接恢复为明文

是否硬编码加密、解密秘钥

文件存储安全

Sqlite数据库存储安全，是否存在sql注入等

助记词、私钥、登录密码等敏感信息存储安全

交易签名安全

是否存在可劫持强制更新漏洞

通用系统漏洞扫描

嵌入应用组件安全，比如商城、积分兑换等

是否进行钱包运行环境安全检测，如root检测、xposed?hook框架检测

钓鱼劫持风险

—-

编译者/作者：成都链安科技

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。