在Web3.0世界里,私鑰和助記詞的安全是最重要的。一旦有了它們,人們可以隨意訪問一個人的數字資產,因此它們的丟失或被盜可能會導致用戶的財產受到巨大損失。
隨著Web3.0領域中移動錢包應用程序的興起,了解保護這些密鑰的各種安全機制就顯得至關重要了。
本文總結了Web3.0移動錢包應用程序提供的不同級別的安全保護。通過對當下流行的九個開源移動錢包進行研究,我們從簡單的密碼保護到硬件支持的可信執行環境等方面探討了這幾個流行錢包在實踐中是如何實現對用戶私鑰或助記詞的安全保護的。通過研究,我們發現其中一些安全保護機制可以有效地解決一些常見的私鑰竊取攻擊。然而我們也發現,來自系統層面的威脅卻在很大程度上被忽略了。
錢包安全核心:私鑰保護
移動錢包應用程序中最重要的的數據就是私鑰和助記詞。
Cardano鏈上二層可擴展性解決方案Hydra即將發布主網測試版:金色財經報道,據InputOutputHK在社交媒體透露,Cardano鏈上二層可擴展解決方案Hydra即將發布其主網測試版,按照IOG發布周報稱,Hydra團隊目前正在探索節點主網兼容性,而且已經為Hydra Plutus腳本中添加了黃金測試套件,現階段Hydra對主網測試做了限制(每次提交不超過100 ADA)并對Hydra-node錯誤配置進行了檢測。另據IOG最新統計數據顯示,截至目前有1,215個項目正在Cardano鏈上構建,其中118個項目已經正式啟動,共處理完成6350萬筆交易。[2023/3/26 13:27:28]
因此,移動錢包應用程序面臨的最嚴重的威脅相應也就是他們的私鑰或助記詞遭泄漏。為了適當緩解這種威脅,一個設計良好的移動錢包應用程序應該有一個系統的方法來保障私鑰在存儲或者使用階段的安全性。
Terra鏈上DeFi鎖倉量突破340億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為346.4億美元,近24小時增加6.53%。在公鏈中排名第2位僅次于以太坊。目前,Terra鏈上DeFi鎖倉量排名前5的分別為:Anchor(192.7億美元)、Lido(96.6億美元)、Astroport(16.3億美元)、Stader(9.75億美元)、Mirror(6.79億美元)。[2022/4/3 14:02:23]
在上表中,我們總結了Web3.0錢包在安卓移動設備上保護用戶私鑰所使用的常見做法。該表對在安卓移動設備上的錢包用于私鑰和助記詞保護的通用做法進行了總結。每個級別的安全做法都是按照安全級別的提高而按順序列出的,并且包括了其不能完全解決的相應威脅。
通過研究九個流行的開源Web3.0錢包,我們可將它們劃分成不同的安全級別,并更好地了解這些做法在現實世界中的應用方式。
Fantom鏈上總鎖倉量突破120億美元,24小時增幅達18.33%:2 月 26 日,據 Defi Llama 數據顯示,Fantom 鏈上總鎖倉量達 128.5 億美元,24 小時增幅達 18.33%。其中,鎖倉量排名前三的項目依順序為 Multichain、Solidly、Solidex。Multichain 鎖倉量為 57.7 億美元,24 小時增幅達 11.54%;Andre Cronje 新項目 Solidly 鎖倉量為 19 億美元,24 小時增幅達 71.94%;Solidex 鎖倉量為 18.7 億美元,24 小時增幅達 43.93%。[2022/2/26 10:18:14]
下圖也顯示了這些移動錢包應用程序的名稱和它們在谷歌游戲商店的下載次數。
錢包安全:從S0到S4
xx network公布鏈上治理規則:據官方消息,xx network近日公布了鏈上治理規則。該規則建立在鏈上質押人權益基礎上,通過共同參與網絡治理,維護網絡的穩定運行,并確保網絡的高度去中心化。
據介紹,xx network治理有三個決策框架,即:代幣持有人、理事會和技術委員會。代幣持有人選舉理事會,理事會選舉技術委員會。代幣持有人是xx network中所有權力的根源和最高決策機構,理事會和技術委員會是保障各項決策得到實施的機構。
據悉,xx network是Web3.0時代數據安全通訊的基礎設施,歷經5年開發與測試,目前已進入主網上線前最后階段。[2021/8/20 22:26:45]
接下來,我們將簡要介紹每種安全做法,以及它們在不同應用程序上的實施方式。其中也包括對每種做法的優點和缺點的討論,以及分析攻擊者如何利用不同的攻擊載荷繞過這些緩解措施。
分析 | BTC期貨空頭比例上升,但鏈上交易額居歷史高位:據TokenInsight數據顯示,反映區塊鏈行業整體表現的TI指數北京時間04月23日8時報498.03點,較昨日同期上漲5.89點,漲幅為1.2%。此外,在TokenInsight密切關注的28個細分行業中,24小時內漲幅最高的為娛樂與游戲應用行業,漲幅為4.67%;24小時內跌幅最高的為社交與內容應用行業,跌幅為4.59%。
據監測顯示,BTC活躍地址數較前日下降13.1%,轉賬數上升1.32%。BCtrend分析師Jeffrey認為,BTC期貨空頭比例上升,但鏈上交易額居歷史高位,短期延續上行。
另據BitUniverse量化分析,BSV在53$-61$之間寬幅震蕩,可網格高拋低吸獲利。[2019/4/23]
S1
S1級別保護錢包安全的做法則是使用用戶定義密碼來加密包含私鑰和助記詞短語的存儲文件,這可以防止非特權用戶或應用程序直接訪問存儲文件。然而,當應用程序啟動時,存儲文件必須被解密,有特權的用戶或應用程序可以趁機侵入錢包并截獲加密密碼。這可以讓他們在獲得加密后的密鑰文件后在本地進行解密或者直接進行暴力破解。
為了證明使用S1級保護具有潛在漏洞,我們進行了一個測試:在一個被root的安卓設備上安裝了開源錢包Samourai。使用Frida,我們能夠在應用程序啟動時截獲加密密碼,并使用該密碼來進一步訪問用戶的私鑰和助記詞。值得注意的是,盡管Samourai錢包試圖檢測設備是否被root,但在我們的實驗中該檢測行為并未生效。
S2
為了防止密鑰存儲文件的加密密鑰被攻擊者在內存中被截獲,一些錢包應用程序,如Metamask,會使用AndroidKeystore系統來生成和使用加密密鑰。
Keystore系統由一個可信的應用程序來實現,該應用程序在安卓系統的可信執行環境中運行。這個環境與主操作系統隔離,并受到基于硬件的安全功能的保護。通過使用Keystore系統,存儲文件的加密或解密發生在TEE中,降低了加密密鑰被泄露的可能性。
然而,Keystore系統并不提供區塊鏈相關的加密操作API,如交易簽名或驗證。因此,錢包仍然需要在內存中解密用戶的私鑰進行相關簽名驗簽操作,這也令它容易受到特權級攻擊者的攻擊,比如黑客可以轉儲應用程序的內存并提取私鑰。
S3
為了提高S2級保護的安全性,一些錢包應用程序通過檢查移動設備是否已被root來更進一步保護用戶資產。這種檢測利于確保設備的完整性,因為被root的設備更容易被攻擊者利用。
例如,AirgapVault錢包使用Keystore系統來保護用戶的加密密鑰,但也會在運行時檢查設備是否已被root。如果發現設備被root,AirgapVault錢包會拒絕運行,最大限度地提高保護水平。這一額外的安全層提供了額外的保護,防止潛在的設備被惡意root的風險。
S4
移動錢包應用程序中最高級別的安全實踐是使用專用的TrustedExecutionEnvironment可信執行環境來存儲和處理私鑰信息。這是通過在設備上安裝一個專門的基于TEE的可信應用來實現的。
例如,這種保護方法目前被三星區塊鏈應用程序在某些高端三星智能手機上使用。這種方法提供了額外的保護,因為私鑰信息存儲在TEE中并由僅在TEE中被使用,TEE與主操作系統隔離,只能由供應商信任的代碼訪問。即使是有特權的用戶或應用程序也不能直接訪問這些信息。然而,這種方法的局限性在于,它要求智能手機制造商為錢包開發者提供特定的接口來使用TEE。
移動錢包應用安全
在S3級別的保護中,我們提到root檢測可以和Keystore系統一起使用,以保護用戶的私人信息。請注意,我們認為root檢測是確保設備保持基本完整性的一個重要方面,應該與任何安全實踐結合起來實施,以確保更高水平的保護。
然而,重要的是:root檢測技術可能有所不同,且不一定有效。例如,雖然AirgapVaultr我們的測試設備已經被root,但Samourai錢包在相同的測試環境下并未成功檢測到設備被root。
此外,這項研究只包括移動設備上的軟件錢包應用程序,沒有任何額外的硬件實現。基于硬件的Web3.0錢包和冷錢包安全都提供了有吸引力的安全功能,它們都值得單獨寫一篇文章來詳細介紹。
在實踐中,我們相信移動錢包應用程序由于其簡單易用的特性將繼續增加其用戶群。但是我們認為,錢包開發者應該盡可能利用Trustzone設計,為錢包用戶提供最大程度的安全。
總結
在本文中,CertiK的專家團隊分析了Web3.0錢包應用程序在移動設備上面臨的威脅,特別是私人密鑰的存儲和相關的潛在威脅。通過對九個不同的流行錢包應用程序的測試及研究,CertiK的專家團隊揭示了每個應用程序所采用的安全級別,且發現大多數主要的錢包是使用硬件支持的密鑰保護技術來解決密鑰存儲問題的,如安卓上的Keystore系統。
然而我們也注意到,大多數錢包沒有檢查設備完整性,例如是否被root,這可能導致在內存中執行私鑰操作時出現安全問題。除了我們在本文中總結的五個級別的安全實踐外,我們認為錢包開發者還應該注意如何在安卓系統上充分利用Trustzone設計,以更好地減輕常見風險。我們將在今后的文章中繼續介紹這個話題,并協助開發者更好地保護用戶的資產。
親愛的BitMart用戶:根據BitMart“交易對的暫停交易、隱藏及下線規則”,通過對相關交易對的持續跟蹤觀察,我們決定于2023年2月1日11:00PMUTC起暫停SLC,$ITA.
1900/1/1 0:00:00原文作者:@DeFi_Cheetah原文來源:Twitter 原文翻譯:JamesX TL;DR 1.$CRV的代幣經濟保護?Curve?建立了較高的競爭壁壘.
1900/1/1 0:00:00UNI因其作為“無意義的治理代幣”的代表而廣受批評。實際上,此事遠遠不是打開分成開關,然后將收入用于分配或者回購這么簡單.
1900/1/1 0:00:00親愛的BitMart用戶:BitMart將于2023年2月1日首發上線代幣BitcoinBank(BTCBANK)。屆時將開通BTCBANK/USDT交易對.
1900/1/1 0:00:00尊敬的XT.COM用戶:因EOS錢包升級維護,XT.COM現已暫停EOS鏈上代幣充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00金色財經報道,區塊鏈投資公司BlocktowerCapital創始人AriPaul在社交媒體上稱,我認為BTC在2024年底會超過11萬美元。(目前的價格是23000美元).
1900/1/1 0:00:00