“21%的操作存在截屏、录屏记录;26%未检测到系统运行环境;9 %存在钱包APP伪造漏洞;6 %交易密码未检测弱指令;38%核心代码未加固。”
这些数字来自360集团信息安全部近日发布的一份《数字货币钱包安全白皮书》。
由于业务场景的快速迭代以及推广需求,两种钱包都存在不少安全隐患,但总体上来说,“热钱包”漏洞多于“冷钱包”,可被攻击的环节更多。
360集团信息安全部负责人高雪峰表示:
“拿'热钱包’来说,如果新用户在创建助记词时,钱包进行截屏、录屏等操作,就有可能造成助记词泄露,如果私钥生成过程的相关算法被逆向分析,那黑客就能得到私钥。”
此外,数字货币钱包也同祥面临蓍包括植入恶意代码、输入监听、转账地址篡改等常见网络攻击。
高雪峰认为,区块链兴起后,数字货币钱包的安全标准严重滞后,大部分钱包幵发团队以业务优先为原则,对安全性未做足够的防护。黑客一旦瞄准钱包,找到漏洞,就会将账户货币洗劫一空,而且由于数字货币匿名、不可追踪等特性,被盜后难以追回。
《白皮书》建议,数字货币钱包服务商要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核,同时还要监控私钥、助记词、交易过程、数据存储的安全。
猶豹全球智库高级分析师刘鹏表示,对于普通用户来说,如果正在使用的加密数字货币钱包存在安全漏洞,应在幵发商完成漏洞修补升级版本之前換用其他安全的加密数字货币钱包,并重新创建一个全新的钱包地址,通过转账的方式将旧地址的资产转移到新地址,最后将旧地址作废。
网友评论