每日最新頭條.有趣資訊

數字貨幣錢包“百花齊放”難掩安全隱患 仍需加把鎖

  “百花齊放”難掩安全隱患

  數字貨幣錢包 仍需加把鎖

  本報記者 陳 靜

  “21%的操作存在截屏、錄屏記錄;26%未檢測到系統運行環境;9%存在錢包APP偽造漏洞;6%交易密碼未檢測弱口令;38%核心代碼未加固。”這些數字來自360集團資訊安全部近日發布的一份《數字貨幣錢包安全白皮書》(以下簡稱“《白皮書》”)。

  隨著區塊鏈的火熱,數字貨幣也逐漸為投資者所熟知,但安全問題也隨之而來。早在2014年,當時世界上最大的比特幣交易所運營商Mt.Gox就被黑客竊取了85萬個比特幣,佔當時全球比特幣總數的7%;2017年11月份,以太坊錢包Parity被曝漏洞,導致價值2.8億美元的93萬個以太幣被凍結;2018年1月份,日本數字貨幣交易所CoinCheck錢包被黑,價值5.3億美元的新經幣被竊。

  所謂數字貨幣錢包,其實是管理諸如比特幣等基於區塊鏈技術的數字貨幣的應用。它一般提供錢包地址的創建、轉账、交易查詢等功能。數字貨幣錢包的“百花齊放”,對應的正是區塊鏈技術在數字虛擬貨幣上的廣泛應用。在我國,2017年區塊鏈相關項目融資總額超過12.7億元,融資事件54起,而僅在2018年第一個月,區塊鏈行業融資額就達到6.8億元,融資事件19起。

  數字貨幣錢包的安全性從何而來?來自市場研究機構獵豹全球智庫的一份研究報告顯示:每個錢包地址都對應一個密鑰對——私鑰和公鑰。公鑰是根據私鑰進行一定的數學運算生成,與私鑰一一對應。公鑰主要是對外交易使用,私鑰則是數字貨幣錢包中唯一能夠證明對數字資產有控制權的憑證,因此它的生成和存儲方式決定了資產安全與否。助記詞是明文私鑰的另一種表現形式,因此能否安全地管理助記詞也是區別錢包是否安全的重要條件。

  正因如此,針對私鑰和助記詞的攻擊也成為數字貨幣錢包最重要的安全隱患之一。《白皮書》介紹,根據使用時的聯網狀態不同,數字貨幣錢包分為“熱錢包”和“冷錢包”。由於業務場景的快速迭代以及推廣需求,兩種錢包都存在不少安全隱患,但總體上來說,“熱錢包”漏洞多於“冷錢包”,可被攻擊的環節更多。360集團資訊安全部負責人高雪峰表示:“拿‘熱錢包’來說,如果新用戶在創建助記詞時,錢包沒有進行截屏、錄屏等操作的監測,就有可能造成助記詞泄露,如果私鑰生成過程的相關算法被逆向分析,那黑客就能得到私鑰。”此外,數字貨幣錢包也同樣面臨著包括植入惡意代碼、輸入監聽、轉账地址篡改等常見網絡攻擊。

  數字貨幣錢包為何會有如此多的安全隱患,對它的攻擊又為何能頻頻得手?高雪峰認為,區塊鏈興起後,數字貨幣錢包的安全標準嚴重滯後,大部分錢包開發團隊以業務優先為原則,對安全性未做足夠的防護。黑客一旦瞄準錢包,找到漏洞,就會將账戶貨幣洗劫一空,而且由於數字貨幣匿名、不可追蹤等特性,被盜後難以追回。

  目前,數字貨幣錢包的安全主要靠平台方加強安全審核。《白皮書》建議,數字貨幣錢包服務商要進行包括域名系統安全檢測、主機實例安全檢測、服務端應用安全檢測等一系列審核,同時還要監控私鑰、助記詞、交易過程、數據存儲的安全。而對於普通用戶來說,能進行的安全防範則相當有限。

  獵豹全球智庫高級分析師劉鵬表示,對於普通用戶來說,如果正在使用的加密數字貨幣錢包存在安全漏洞,應在開發商完成漏洞修補更新版本之前換用其他安全的加密數字貨幣錢包,並重新創建一個全新的錢包地址,通過轉账的方式將舊地址的資產轉移到新地址,最後將舊地址作廢。

責任編輯:謝海平

獲得更多的PTT最新消息
按讚加入粉絲團