CAS:慢霧 | 錢包安全審計服務全面增加插件錢包安全審計項

近年來，加密錢包安全事件頻發。

根據慢霧MistTrack所接觸的受害者信息收集整理，錢包被盜的事件占比高達60%，顯而易見錢包是最有利可圖的目標，因此，錢包的安全性至關重要，當然，對錢包進行安全審計更是重中之重。

作為在區塊鏈耕耘已久的一員，慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包，如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性，慢霧科技在已有審計項的基礎上進行擴展，新增了對擴展/插件錢包的審計。

下面讓我們以問答形式來一睹為快！

插件錢包與常說的“錢包”有什么不同？

?

插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。

慢霧：LendHub疑似被攻擊損失近600萬美金，1100枚ETH已轉移到Tornado Cash:金色財經報道，據慢霧區情報，HECO生態跨鏈借貸平臺LendHub疑似被攻擊，主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后，將部分資金跨鏈到Heco鏈展開攻擊后獲利，后使用多個平臺（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨鏈或兌換被盜資金。截至目前，黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析，慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]

插件錢包管理的助記詞/私鑰是與DApp相互隔離的，理論上第三方組件(如：DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊，所以安全性有一定的保證。

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

插件錢包配置簡單，使用更方便，在官方渠道下載安裝后勾選開啟插件，使用時點擊圖標就可進入錢包，并且使用錢包管理助記詞/私鑰。

插件錢包的助記詞/私鑰的管理操作更方便和安全，僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬，簽名一筆交易，或者管理助記詞/私鑰。

慢霧在插件錢包安全方面有什么研究？

?

慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成，助記詞/私鑰的存儲，助記詞/私鑰的使用，助記詞/私鑰的備份，助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究，并梳理插件錢包安全的最佳實踐，并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。

慢霧安全：黑客通過繞過未被驗證的賬號，非法增發20億個CASH:據慢霧區情報消息，Solana上的穩定幣項目Cashio遭遇黑客攻擊。據慢霧安全團隊初步分析，黑客通過繞過一個未被驗證的賬號，非法增發了20億個CASH代幣，并通過多個應用將CASH代幣轉化為 8,646,022.04 UST 17,041,006.5 USDC 和26,340,965.68 USDT-USDC LP，獲利總價值：52027994.22 USD（5000多萬美金）。目前官方@CashioApp已發出公告讓用戶暫停使用合約，并發布臨時補丁修復了漏洞。[2022/3/23 14:14:07]

如：

1.某些場景下可通過DApp頁面獲取助記詞/私鑰；

2.某些場景下可通過跨域方式獲取助記詞/私鑰；

3.某些場景下可在錢包鎖定后獲取助記詞/私鑰；

動態 | 慢霧預警：Electrum釣魚更新事件預警:據慢霧區消息，此前對Electrum錢包進行攻擊的黑客利用Electrum的軟件異常構造惡意的軟件更新提示，誘導用戶更新下載惡意軟件使用，慢霧團隊提醒用戶，如果您使用的Electrum 提示更新請注意仔細核對信息，認準官方網站和軟件版本并作簽名校驗。真實的官方網站和下載鏈接如下：

github.com/spesmilo/electrum（GitHub的倉庫托管代碼）、https://electrum.org/（該項目的網站）

假冒的是：github.com/electrum-wallet/electrum/releases

如果您看到以上虛假地址，請忽略它并更改服務器。

此外，慢霧區提醒項目方，可接入 DApp 防火墻免疫此類攻擊，阻斷攻擊者進一步擴大攻擊范圍。[2018/12/28]

4.某些場景下可構造簽名數據進行假充值/假轉賬。

(攻擊面很多，歡迎來撩:-))

慢霧對插件錢包的整體安全審計是什么樣的？

?

慢霧安全團隊對錢包的審計涵蓋滲透測試內容，且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案，還會提出建議執行的安全增強點或最佳安全實踐，以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據，并根據項目方需求出具專業的安全審計報告。具體可參考：

https://www.slowmist.com/service-wallet-security-audit.html

當慢霧在審計插件錢包時，慢霧在審什么？

?

對于任何一款錢包來說，賬戶安全/私鑰安全都是極為重要的。因此，我們在對擴展/插件錢包進行審計時，仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖：

插件錢包安全審計主要使用哪些測試方式？

?

我們主要采用“黑盒與灰盒結合為主，白盒為輔”的方式。

黑盒測試：站在外部從攻擊者角度進行安全測試。

灰盒測試：通過腳本工具對代碼模塊進行安全測試，觀察內部運行狀態，挖掘弱點。

白盒測試：基于項目的源代碼，進行脆弱性分析和漏洞挖掘。

如何理解漏洞等級？

?

嚴重漏洞：會對項目的安全造成重大影響。

高危漏洞：會影響項目的正常運行。

中危漏洞：會影響項目的運行。

低危漏洞：可能在特定場景中會影響項目的業務操作。

弱點：理論上存在安全隱患，但工程上極難復現。

增強建議：編碼或架構存在更好的實踐方法。

對插件錢包有什么展望？

?

隨著區塊鏈產業的多鏈多元化發展，插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包，例如：波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展，還是很可觀的，非常值得關注。

有什么想對大家說的？

?

加密錢包審計重點在于解決常見的安全漏洞，規避可能出現的安全風險。作為用戶，希望能增強安全意識，不要隨意泄露助記詞/私鑰。作為項目方，對于安全問題的重視程度遠遠不夠，希望加密錢包項目方對于安全標準能有更好的認識，與我們一起共同保護用戶資產的安全。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10227688.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

比爾·蓋茨再談ChatGPT：將改變我們的世界！

Tags：ELELECCASCTRElectric CashLEC幣Tornado.CashSpectrumCash

比特幣行情