機構報告稱加密數字錢包APP安全性嚴重不足

來源/環球網

近日，中國資訊通信研究院泰爾終端實驗室、上海交通大學網絡空間安全學院、上海掌禦資訊科技有限公司共建的區塊鏈安全研究中心，和中國區塊鏈應用研究中心、上海淳粹文化傳媒有限公司、杭州加密谷區塊鏈科技有限公司聯合發布《加密數字錢包APP資訊安全現狀白皮書》。據悉，這是行業內首次採用公開、合法的資訊，運用科學的研究方法，對當前加密數字錢包行業相關移動應用（APP）做出的資訊安全分析評判。

據劍橋大學統計，全球數字資產錢包用戶2018年已經達到了3500萬，比2016年增長了三倍有余。各大錢包廠商為了快速搶佔市場，使其將精力傾注於迅速推出和迭代上，而忽視了數字錢包本身的安全性。所以市面上大部分數字錢包都存在被黑客攻擊、盜幣等安全隱患。

研究團隊選擇了6款去中心化數字錢包和8款包含數字錢包功能的中心化交易平台進行了評測。本次的評測結果表明，加密數字錢包APP仍然存在大量安全問題，特別是私鑰保護方面，實現安全性存在嚴重不足。另外，不同的APP安全防護水準存在較大的差別，部分防護較弱的APP可能輕易被黑客攻擊，從而造成用戶的資訊洩露和財產損失。

白皮書在公布針對14個主流加密數字錢包的測評標準、測試方法和測評結果的同時，也提出了“加密數字錢包的私鑰使用安全最佳實踐”的五個注意事項，包括無論是否加密，錢包私鑰不能存放在伺服器上；無論是否加密，錢包私鑰不能存放在外部存儲卡上；錢包私鑰不能以明文存儲在私有目錄；使用過錢包私鑰後需要及時清理記憶體；錢包私鑰需要配合助記詞使用，生成助記詞過程禁止截屏。

白皮書也在三個方面，提出“加密數字錢包APP代碼安全規範”：在交易數據傳輸方法和實現方面，包括錢包私鑰不能通過網絡傳輸，不能使用HTTP明文進行數據通信，使用HTTPS則需要驗證證書以及綁定證書，若使用自定義協定，則需要有完善的密鑰交換協定。在伺服器安全方面，伺服器通過與客戶端的通信接口，應當能夠抵禦常見的安全威脅。在代碼保護方面，代碼需要完整性檢查碼，代碼能夠防逆向分析，代碼能夠防進程注入。

中國資訊通信研究院泰爾終端實驗室資訊安全部副主任袁琦給數字錢包用戶提出三點建議，包括及時更新加密數字錢包APP，保持最新版本，防止舊版本安全漏洞遭到利用；使用專用的移動設備和移動網絡進行操作，並及時更新移動作業系統；關注權威測評機構最新發布的加密數字錢包APP安全測試報告。