八成數(shù)字貨幣錢包存安全隱患

　　隨著區(qū)塊鏈技術(shù)普及，數(shù)字貨幣漸漸走進(jìn)大眾視野，各種“錢包”也如雨后春筍般冒出來，但是這些錢包的安全性卻令人擔(dān)心。

　　日前，在中國計(jì)算機(jī)學(xué)會(huì)主辦的青年精英論壇上，360集團(tuán)信息安全部發(fā)布《數(shù)字貨幣錢包安全白皮書》(簡(jiǎn)稱《白皮書》)?！栋灼贩Q，目前，市場(chǎng)上最為主流的近20多款錢包八成存在安全隱患，加強(qiáng)對(duì)錢包的安全審計(jì)刻不容緩。

　　“近期，我們發(fā)現(xiàn)國外某知名錢包APP存在加密存儲(chǔ)漏洞，該錢包APP在第一次運(yùn)行時(shí)，默認(rèn)為用戶創(chuàng)建一個(gè)新錢包并將錢包文件未加密存儲(chǔ)在系統(tǒng)本地，攻擊者可讀取存儲(chǔ)的錢包文件，通過對(duì)錢包應(yīng)用逆向分析等技術(shù)手段，還原該錢包的算法邏輯，并由此直接恢復(fù)出用戶的助記詞以及根密鑰等敏感數(shù)據(jù)。”在論壇現(xiàn)場(chǎng)，一位安全人員如是說。

　　像這樣的例子還有很多，《白皮書》稱，安全人員對(duì)市場(chǎng)上近20款數(shù)字貨幣通用錢包APP、發(fā)幣公司官方錢包APP進(jìn)行模擬攻擊，涉及使用錢包應(yīng)用、貨幣交易、軟件防護(hù)等，從貨幣出生到交易完成的全流程。存在安全隱患的數(shù)字貨幣錢包超過八成，其中21%操作存在截屏、錄屏記錄;26%未檢測(cè)到系統(tǒng)運(yùn)行環(huán)境;9%存在錢包APP偽造漏洞;6%交易密碼未檢測(cè)弱口令;38%核心代碼未加固等。

　　安全人員在無root權(quán)限(安卓手機(jī)的最高權(quán)限)下的截屏、錄屏可以得到助記詞、交易密碼等信息;利用Janus簽名問題(簽名漏洞可以讓攻擊者繞過安卓系統(tǒng)的簽名機(jī)制)對(duì)APP進(jìn)行偽造;將軟件植入惡意代碼，可以修改轉(zhuǎn)賬人地址等操作。這些都會(huì)直接威脅用戶數(shù)字貨幣安全。

　　《白皮書》介紹，根據(jù)使用時(shí)的聯(lián)網(wǎng)狀態(tài)不同，數(shù)字貨幣錢包分為“熱錢包”和“冷錢包”?？傮w上來說，“熱錢包”漏洞多于“冷錢包”，攻擊面更多，更需要用戶和發(fā)幣方加強(qiáng)保護(hù)。

　　360集團(tuán)信息安全部負(fù)責(zé)人高雪峰表示，區(qū)塊鏈興起后，數(shù)字貨幣錢包相應(yīng)安全標(biāo)準(zhǔn)嚴(yán)重滯后，大部分錢包開發(fā)團(tuán)隊(duì)以業(yè)務(wù)優(yōu)先原則，對(duì)安全性未做足夠的防護(hù)。黑客一旦瞄準(zhǔn)錢包，找到漏洞，就會(huì)將賬戶貨幣洗劫一空，而且由于數(shù)字貨幣匿名、不可追蹤等特性，被盜后難以追回。

　　此外，《白皮書》還給出了數(shù)字貨幣錢包的安全解決方案。方案包括對(duì)運(yùn)行環(huán)境、協(xié)議交互、數(shù)據(jù)存儲(chǔ)、功能設(shè)計(jì)、域名DNS等近50個(gè)項(xiàng)目進(jìn)行安全審計(jì)檢測(cè)，可實(shí)現(xiàn)對(duì)錢包的全方位保護(hù)。