比特币突破2.3万美元，一篇文章了解加密钱包的安全审核清单，让您放心

过去一个月，比特币的价值从1.8万美元上升到2万美元。来自货币界的消息：比特币在圣诞节前肯定会飙升。

昨天晚上，BTC冲到23000点的高位。

在比特币崛起的带动下，硬币圈陷入疯狂，加密货币市场需求旺盛。如瑞普币、以太坊等也表现良好。

从昨天晚上到今天，币圈上演了一幕幕幕大规模的“振聋发聩”的场面，而市场上狂热的投资者也纷纷进入“争夺战”。

与2017年的比特币狂潮相比，这轮反弹可能看起来更加稳定。

2020年对所有人来说都是特殊的一年，疫情爆发，币圈动荡。金融去中心化的出现和发展热潮，使得区块链再次受到人们的关注。

随着新区块链项目的启动，2000多种加密资产、越来越多的加密钱包进入市场，越来越多的用户开始涌入这个领域。

随着加密领域的资产越来越庞大，从安全风险方面的危机也暴露出来。

比特币飙升，你的钱包安全吗？

近年来，数字钱包安全事件频发。

去年11月19日，ARS technica报告称，两个加密货币钱包的数据被泄露，220万个账户信息被盗。安全研究人员特洛伊·亨特证实，被盗数据来自加密货币钱包gatehub和Runescape机器人供应商epicbot的账户。

这不是gatehub第一次发生数据泄漏。据悉，去年6月，黑客入侵约100个XRP账本钱包，导致近1000万美元资金被盗。,

2019年3月29日，碧水源失窃成为热门话题。据推测，这起事件的发生是因为bithum拥有的g4ydomrxhege帐户的私钥被黑客窃取。

很快，黑客们将这些赃款散布到各个交易所，包括fire money、hitbtc、WB和exmo。根据非官方数据和用户估计，bithum损失了300多万EOS硬币（约1300万美元）和2000万XRP硬币（约600万美元）。

由于数字货币的匿名性和去中心化性，在一定程度上难以追回被盗资产。因此，钱包的安全性非常重要。

2020年8月9日，certik的安全工程师在DeFi con区块链安全大会上发表演讲，主题是“开发安全加密钱包”，并分享了他们对加密钱包安全性的看法。

加密钱包是一种帮助用户管理帐户和简化交易过程的应用程序。

一些区块链项目发布加密的钱包应用程序来支持链的开发，例如deepwallet for certik chain。

此外，还有像shapeshift这样的公司，他们制造支持不同区块链协议的钱包。

从安全角度来看，加密钱包最重要的问题是防止攻击者窃取用户钱包的助记符和私钥。

在过去的一年里，certik技术团队对几种加密钱包进行了测试和研究，在此我们分享了基于软件的不同类加密钱包的安全评估方法和过程。

加密钱包基本审核清单

要评估一个应用程序，首先需要了解它的工作原理→代码实现是否符合最佳的安全标准→如何纠正和改进安全缺陷。

Certik技术团队已经为加密钱包制作了一份基本审核清单，该清单反映了所有形式的加密钱包应用程序（手机、网络、分机、桌面）是如何用于生成和存储用户私钥的，尤其是手机和网络钱包。

应用程序如何生成私钥？

●应用程序如何以及在哪里存储原始信息和私钥？

●钱包是否连接到可信区块链节点？

●应用程序是否允许用户配置自定义区块链节点？如果允许，恶意区块链节点会对应用程序产生什么影响？

●应用程序是否连接到中心化服务器？如果是，客户端应用程序将向服务器发送什么信息？

●应用程序是否要求用户设置高安全性的密码？

●当用户试图访问敏感信息或转账时，应用程序是否需要二次认证？

●应用程序是否使用易受攻击的第三方库？

源代码库中是否有泄露的秘密（如API密钥、AWS证书）？

在程序源代码中是否有明显的错误代码实现（例如对密码学的错误理解）？

●应用服务器是否强制TLS连接？

手机钱包

与笔记本电脑相比，手机等移动设备更容易丢失或被盗。

在分析移动设备面临的威胁时，必须考虑攻击者可以直接访问用户设备的情况。

在评估过程中，如果攻击者能够访问用户的设备，或者用户的设备感染了恶意软件，我们需要尝试识别可能导致帐户和密码资产损坏的潜在问题。

除了基本列表外，以下是移动钱包评估中需要添加的审计类别：

●应用程序是否警告用户不要对敏感数据进行截屏——当显示敏感数据时，Android应用程序是否会阻止用户截屏？IOS应用程序是否警告用户不要对敏感数据进行截屏？

●应用程序是否泄漏背景截图中的敏感信息？

●应用程序是否检测到设备是否越狱/越狱？

●应用程序是否锁定后台服务器的证书？

●应用程序是否在程序日志中记录敏感信息？

●应用程序是否包含错误配置的深度链接和意图，是否可以利用？

●应用程序包是否混淆代码？

应用程序中是否实现反调试功能？

●应用程序是否检查应用程序重新打包？

（IOS）存储在IOS密钥链中的数据是否足够安全？

●应用程序是否受到密钥链数据持久性的影响？

●当用户输入敏感信息时，应用程序是否禁用自定义键盘？

●应用程序使用“WebView”加载外部网站是否安全？

网络钱包

对于一个完全去中心化的钱包来说，web应用程序正变得不那么受欢迎。Mycrypto不允许用户在web应用程序中使用keystore/mnemonics/private keys访问钱包，myETHerwallet也建议用户不要这样做。

与其他三种平台上运行的钱包相比，以web应用的形式对钱包进行钓鱼相对容易；如果攻击者入侵web服务器，则可以通过在网页中注入恶意JavaScript，轻松窃取用户的钱包信息。

然而，一个安全的构建和彻底测试的网络钱包仍然是用户管理其加密资产的最佳选择。

除了上述一般的基本审计类别外，我们还列出了评估客户网络钱包时要审计的以下类别：

●应用程序中是否存在跨站点脚本XSS漏洞？

应用程序是否存在单击劫持漏洞？

●应用程序是否有有效的内容安全策略？

●应用程序中是否存在开放重定向漏洞？

●应用程序中是否存在HTML注入漏洞？

如今，在网络钱包中使用Cookie是非常罕见的，但是如果有，您应该检查：

Cookie属性

跨站点请求伪造（CSRF）

跨域资源共享（CORS）配置错误

钱包还有其他基本功能可以利用吗？

●OWASP top 10中未提及的漏洞。

扩展钱包

Metamask是最著名和最常用的加密钱包之一，它以浏览器扩展的形式出现。

扩展钱包的内部工作方式与web应用程序非常相似。

区别在于它包含了称为内容脚本和背景脚本的独特组件。

网站通过内容脚本和后台脚本与扩展页面进行通信。

在评估扩展钱包的过程中，最重要的事情之一是测试恶意网站是否可以在未经用户同意的情况下读取或写入属于扩展钱包的数据。

除了基本列表外，以下是要添加到扩展钱包评估中的审计类别：

扩展需要哪些权限？

●扩展应用程序如何决定允许哪个网站与扩展钱包通信？

扩展钱包如何与网页交互？

恶意网站是否可以通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面？

恶意网站是否可以在未经用户同意的情况下读取或修改扩展数据？

扩展钱包是否存在点击劫持漏洞？

●扩展钱包（通常是背景脚本）在处理信息之前是否检查过信息来源？

●应用程序是否实施有效的内容安全策略？

电子桌面钱包

在编写了web应用程序的代码之后，为什么不使用它在electron中构建一个桌面应用程序呢？

在过去的测试中，大约80%的桌面钱包都是基于电子框架的。在测试一个基于electron的桌面应用程序时，您不仅应该查找web应用程序中可能存在的漏洞，还应该检查electron配置是否安全。

Certik分析了electron的桌面应用程序漏洞，您可以单击访问本文以了解详细信息。

以下是要添加到电子桌面钱包评估中的审计类别：

●应用中使用的电子版本是什么？

●应用程序是否加载远程内容？

●应用程序是否禁用“节点集成”和“启用远程模块”？

●应用程序是否启用了“contextiSOLation”、“sandbox”和“websecurity”选项？

●应用程序是否允许用户从当前钱包页面跳转到同一窗口中的任何外部页面？

●应用程序是否实施有效的内容安全策略？

●预加载脚本是否包含可能被滥用的代码？

●用户是否直接将“危险输入”外部功能？

应用程序是否制定了不安全的自定义协议？

服务器端漏洞清单

在我们测试的加密钱包应用中，超过一半的应用没有中心化服务器，它们直接连接到区块链节点。

certik技术团队认为这是一种减少攻击面和保护用户隐私的方法。

但是，如果应用程序希望为客户提供的不仅仅是帐户管理和代币传输，它可能需要一个具有数据库和服务器端代码的中心化服务器。

要由服务器端组件测试的项目高度依赖于应用程序特性。

根据调研中发现的服务器端漏洞以及与客户的联系，我们编制了以下漏洞检查表。当然，它并不包含所有可能的服务器端漏洞。

●认证和授权

●KYC及其有效性

●竞争条件

●云服务器配置错误

Web服务器配置错误

●不安全直接对象引用（idor）

服务器请求伪造（SSRF）

●文件上传不安全

任何类的注入（SQL、命令、模板）漏洞

任何文件读/写

业务逻辑错误

●费率限制

●拒绝服务

信息泄露

总结

随着科技的发展，黑客实施的欺诈和攻击手段越来越多样化。

Certik安全技术团队希望分享加密钱包的安全风险，让用户对数字货币钱包的安全问题有更清晰的认识和认识，提高警惕性。

在这个阶段，许多开发团队对安全问题的关注远远低于对业务的关注，也没有对他们的钱包产品进行足够的安全保护。通过共享加密钱包的安全审计类别，certik期望加密钱包项目方对产品安全标准有一个清晰的认识，从而促进产品安全升级，共同保护用户资产的安全。

数字货币攻击是一种多技术维度的综合性攻击，需要考虑数字货币管理和流通过程中涉及的所有应用安全，包括计算机硬件、区块链软件、钱包等区块链服务软件、智能合约等。

加密钱包需要注意对潜在攻击的检测和监控，避免同一方式的多重攻击，并加强数字货币账户的安全保护手段，利用物理加密冷库来保存重要的数字货币。另外，我们需要聘请专业的安全团队对网络级别进行测试，通过远程模拟攻击发现漏洞。