[an error occurred while processing this directive]
当前位置首页 > 科技新闻 > 正文

八成数字货币钱包存安全隐患

2018-05-29 10:05 来源:科技日报 本报记者 付丽丽

  随着区块链技术普及,数字货币渐渐走进大众视野,各种“钱包”也如雨后春笋般冒出来,但是这些钱包的安全性却令人担心。

  日前,在中国计算机学会主办的青年精英论坛上,360集团信息安全部发布《数字货币钱包安全白皮书》(简称《白皮书》)。《白皮书》称,目前,市场上最为主流的近20多款钱包八成存在安全隐患,加强对钱包的安全审计刻不容缓。

  “近期,我们发现国外某知名钱包APP存在加密存储漏洞,该钱包APP在第一次运行时,默认为用户创建一个新钱包并将钱包文件未加密存储在系统本地,攻击者可读取存储的钱包文件,通过对钱包应用逆向分析等技术手段,还原该钱包的算法逻辑,并由此直接恢复出用户的助记词以及根密钥等敏感数据。”在论坛现场,一位安全人员如是说。

  像这样的例子还有很多,《白皮书》称,安全人员对市场上近20款数字货币通用钱包APP、发币公司官方钱包APP进行模拟攻击,涉及使用钱包应用、货币交易、软件防护等,从货币出生到交易完成的全流程。存在安全隐患的数字货币钱包超过八成,其中21%操作存在截屏、录屏记录;26%未检测到系统运行环境;9%存在钱包APP伪造漏洞;6%交易密码未检测弱口令;38%核心代码未加固等。

  安全人员在无root权限(安卓手机的最高权限)下的截屏、录屏可以得到助记词、交易密码等信息;利用Janus签名问题(签名漏洞可以让攻击者绕过安卓系统的签名机制)对APP进行伪造;将软件植入恶意代码,可以修改转账人地址等操作。这些都会直接威胁用户数字货币安全。

  《白皮书》介绍,根据使用时的联网状态不同,数字货币钱包分为“热钱包”和“冷钱包”。总体上来说,“热钱包”漏洞多于“冷钱包”,攻击面更多,更需要用户和发币方加强保护。

  360集团信息安全部负责人高雪峰表示,区块链兴起后,数字货币钱包相应安全标准严重滞后,大部分钱包开发团队以业务优先原则,对安全性未做足够的防护。黑客一旦瞄准钱包,找到漏洞,就会将账户货币洗劫一空,而且由于数字货币匿名、不可追踪等特性,被盗后难以追回。

  此外,《白皮书》还给出了数字货币钱包的安全解决方案。方案包括对运行环境、协议交互、数据存储、功能设计、域名DNS等近50个项目进行安全审计检测,可实现对钱包的全方位保护。

(责任编辑:王蔚)

热点推荐

透过《延禧攻略》看非遗

透过《延禧攻略》看非遗

《延禧攻略》正在热播,大反派之一的高贵妃薨逝,...

以假乱真为求真

以假乱真为求真

 在侦探文学作品或谍战片中,不乏笔下或剧中人物...

“雪龙2”号雄姿初现

“雪龙2”号雄姿初现

我国第一艘自主建造的极地科学考察破冰船“雪龙2”...

科伦坡国际集装箱码头 “油改电”获赞

科伦坡国际集装箱码头 “油改电”获赞

科伦坡国际集装箱码头是中国和斯里兰卡共建“21世...

29项“利器”上工地 推进中老铁路建设

29项“利器”上工地 推进中老铁路建设

“轰隆隆……”,宽敞的隧道中,机器轰鸣,一片繁...

全新碳形态汞黝矿结构制造成功

全新碳形态汞黝矿结构制造成功

碳可谓自然界的“千面女郎”:珍贵的钻石、平凡无...

风光电站 好风光

风光电站 好风光

8月14日,记者从国家电投河北公司了解到,其首个风...