八成數(shù)字貨幣錢包存安全隱患

　　隨著區(qū)塊鏈技術普及，數(shù)字貨幣漸漸走進大眾視野，各種“錢包”也如雨后春筍般冒出來，但是這些錢包的安全性卻令人擔心。

　　日前，在中國計算機學會主辦的青年精英論壇上，360集團信息安全部發(fā)布《數(shù)字貨幣錢包安全白皮書》(簡稱《白皮書》)。《白皮書》稱，目前，市場上最為主流的近20多款錢包八成存在安全隱患，加強對錢包的安全審計刻不容緩。

　　“近期，我們發(fā)現(xiàn)國外某知名錢包APP存在加密存儲漏洞，該錢包APP在第一次運行時，默認為用戶創(chuàng)建一個新錢包并將錢包文件未加密存儲在系統(tǒng)本地，攻擊者可讀取存儲的錢包文件，通過對錢包應用逆向分析等技術手段，還原該錢包的算法邏輯，并由此直接恢復出用戶的助記詞以及根密鑰等敏感數(shù)據(jù)。”在論壇現(xiàn)場，一位安全人員如是說。

　　像這樣的例子還有很多，《白皮書》稱，安全人員對市場上近20款數(shù)字貨幣通用錢包APP、發(fā)幣公司官方錢包APP進行模擬攻擊，涉及使用錢包應用、貨幣交易、軟件防護等，從貨幣出生到交易完成的全流程。存在安全隱患的數(shù)字貨幣錢包超過八成，其中21%操作存在截屏、錄屏記錄;26%未檢測到系統(tǒng)運行環(huán)境;9%存在錢包APP偽造漏洞;6%交易密碼未檢測弱口令;38%核心代碼未加固等。

　　安全人員在無root權限(安卓手機的最高權限)下的截屏、錄屏可以得到助記詞、交易密碼等信息;利用Janus簽名問題(簽名漏洞可以讓攻擊者繞過安卓系統(tǒng)的簽名機制)對APP進行偽造;將軟件植入惡意代碼，可以修改轉賬人地址等操作。這些都會直接威脅用戶數(shù)字貨幣安全。

　　《白皮書》介紹，根據(jù)使用時的聯(lián)網狀態(tài)不同，數(shù)字貨幣錢包分為“熱錢包”和“冷錢包”?？傮w上來說，“熱錢包”漏洞多于“冷錢包”，攻擊面更多，更需要用戶和發(fā)幣方加強保護。

　　360集團信息安全部負責人高雪峰表示，區(qū)塊鏈興起后，數(shù)字貨幣錢包相應安全標準嚴重滯后，大部分錢包開發(fā)團隊以業(yè)務優(yōu)先原則，對安全性未做足夠的防護。黑客一旦瞄準錢包，找到漏洞，就會將賬戶貨幣洗劫一空，而且由于數(shù)字貨幣匿名、不可追蹤等特性，被盜后難以追回。

　　此外，《白皮書》還給出了數(shù)字貨幣錢包的安全解決方案。方案包括對運行環(huán)境、協(xié)議交互、數(shù)據(jù)存儲、功能設計、域名DNS等近50個項目進行安全審計檢測，可實現(xiàn)對錢包的全方位保護。