编码中心
欢迎来稿
当前位置首页 > 科技新闻 > 正文

八成数字货币钱包存安全隐患

2018-05-29 10:05 来源:科技日报 本报记者 付丽丽

  随着区块链技术普及,数字货币渐渐走进大众视野,各种“钱包”也如雨后春笋般冒出来,但是这些钱包的安全性却令人担心。

  日前,在中国计算机学会主办的青年精英论坛上,360集团信息安全部发布《数字货币钱包安全白皮书》(简称《白皮书》)。《白皮书》称,目前,市场上最为主流的近20多款钱包八成存在安全隐患,加强对钱包的安全审计刻不容缓。

  “近期,我们发现国外某知名钱包APP存在加密存储漏洞,该钱包APP在第一次运行时,默认为用户创建一个新钱包并将钱包文件未加密存储在系统本地,攻击者可读取存储的钱包文件,通过对钱包应用逆向分析等技术手段,还原该钱包的算法逻辑,并由此直接恢复出用户的助记词以及根密钥等敏感数据。”在论坛现场,一位安全人员如是说。

  像这样的例子还有很多,《白皮书》称,安全人员对市场上近20款数字货币通用钱包APP、发币公司官方钱包APP进行模拟攻击,涉及使用钱包应用、货币交易、软件防护等,从货币出生到交易完成的全流程。存在安全隐患的数字货币钱包超过八成,其中21%操作存在截屏、录屏记录;26%未检测到系统运行环境;9%存在钱包APP伪造漏洞;6%交易密码未检测弱口令;38%核心代码未加固等。

  安全人员在无root权限(安卓手机的最高权限)下的截屏、录屏可以得到助记词、交易密码等信息;利用Janus签名问题(签名漏洞可以让攻击者绕过安卓系统的签名机制)对APP进行伪造;将软件植入恶意代码,可以修改转账人地址等操作。这些都会直接威胁用户数字货币安全。

  《白皮书》介绍,根据使用时的联网状态不同,数字货币钱包分为“热钱包”和“冷钱包”。总体上来说,“热钱包”漏洞多于“冷钱包”,攻击面更多,更需要用户和发币方加强保护。

  360集团信息安全部负责人高雪峰表示,区块链兴起后,数字货币钱包相应安全标准严重滞后,大部分钱包开发团队以业务优先原则,对安全性未做足够的防护。黑客一旦瞄准钱包,找到漏洞,就会将账户货币洗劫一空,而且由于数字货币匿名、不可追踪等特性,被盗后难以追回。

  此外,《白皮书》还给出了数字货币钱包的安全解决方案。方案包括对运行环境、协议交互、数据存储、功能设计、域名DNS等近50个项目进行安全审计检测,可实现对钱包的全方位保护。

(责任编辑:王蔚)

热点推荐

SpaceX今年第7次发射  共向国际空间站运2.63吨物资

SpaceX今年第7次发射 共向国际空间站运2.63吨物资

据国外媒体报道,美国当地时间4月2日,SpaceX已成...

携手世界 为破解人类科学难题贡献中国智慧

携手世界 为破解人类科学难题贡献中国智慧

在蔚蓝的大海中,国际大洋钻探计划正在钻探地球的...

苹果允许用户彻底删除ID 重隐私者得天下

苹果允许用户彻底删除ID 重隐私者得天下

北京时间3月30日,据彭博社报道,苹果公司表示将在...

eSIM时代,运营商的末日还是新生

eSIM时代,运营商的末日还是新生

自近日中国联通宣布在国内首发Apple Watch Series ...

首枚会变色的“心脏芯片”问世

首枚会变色的“心脏芯片”问世

东南大学生物医学工程学院生物电子学国家重点实验...

“科学”号调查麦哲伦海山

“科学”号调查麦哲伦海山

海山是世界海洋生物多样性研究的热点地区。在国家...

别了,“天宫” 你是永远的“一号”

别了,“天宫” 你是永远的“一号”

2011年9月29日,你乘坐长征二号F运载火箭离我们而...