八成數(shù)字貨幣錢(qián)包存安全隱患

　　隨著區(qū)塊鏈技術(shù)普及，數(shù)字貨幣漸漸走進(jìn)大眾視野，各種“錢(qián)包”也如雨后春筍般冒出來(lái)，但是這些錢(qián)包的安全性卻令人擔(dān)心。

　　日前，在中國(guó)計(jì)算機(jī)學(xué)會(huì)主辦的青年精英論壇上，360集團(tuán)信息安全部發(fā)布《數(shù)字貨幣錢(qián)包安全白皮書(shū)》(簡(jiǎn)稱(chēng)《白皮書(shū)》)?！栋灼?shū)》稱(chēng)，目前，市場(chǎng)上最為主流的近20多款錢(qián)包八成存在安全隱患，加強(qiáng)對(duì)錢(qián)包的安全審計(jì)刻不容緩。

　　“近期，我們發(fā)現(xiàn)國(guó)外某知名錢(qián)包APP存在加密存儲(chǔ)漏洞，該錢(qián)包APP在第一次運(yùn)行時(shí)，默認(rèn)為用戶(hù)創(chuàng)建一個(gè)新錢(qián)包并將錢(qián)包文件未加密存儲(chǔ)在系統(tǒng)本地，攻擊者可讀取存儲(chǔ)的錢(qián)包文件，通過(guò)對(duì)錢(qián)包應(yīng)用逆向分析等技術(shù)手段，還原該錢(qián)包的算法邏輯，并由此直接恢復(fù)出用戶(hù)的助記詞以及根密鑰等敏感數(shù)據(jù)。”在論壇現(xiàn)場(chǎng)，一位安全人員如是說(shuō)。

　　像這樣的例子還有很多，《白皮書(shū)》稱(chēng)，安全人員對(duì)市場(chǎng)上近20款數(shù)字貨幣通用錢(qián)包APP、發(fā)幣公司官方錢(qián)包APP進(jìn)行模擬攻擊，涉及使用錢(qián)包應(yīng)用、貨幣交易、軟件防護(hù)等，從貨幣出生到交易完成的全流程。存在安全隱患的數(shù)字貨幣錢(qián)包超過(guò)八成，其中21%操作存在截屏、錄屏記錄;26%未檢測(cè)到系統(tǒng)運(yùn)行環(huán)境;9%存在錢(qián)包APP偽造漏洞;6%交易密碼未檢測(cè)弱口令;38%核心代碼未加固等。

　　安全人員在無(wú)root權(quán)限(安卓手機(jī)的最高權(quán)限)下的截屏、錄屏可以得到助記詞、交易密碼等信息;利用Janus簽名問(wèn)題(簽名漏洞可以讓攻擊者繞過(guò)安卓系統(tǒng)的簽名機(jī)制)對(duì)APP進(jìn)行偽造;將軟件植入惡意代碼，可以修改轉(zhuǎn)賬人地址等操作。這些都會(huì)直接威脅用戶(hù)數(shù)字貨幣安全。

　　《白皮書(shū)》介紹，根據(jù)使用時(shí)的聯(lián)網(wǎng)狀態(tài)不同，數(shù)字貨幣錢(qián)包分為“熱錢(qián)包”和“冷錢(qián)包”?？傮w上來(lái)說(shuō)，“熱錢(qián)包”漏洞多于“冷錢(qián)包”，攻擊面更多，更需要用戶(hù)和發(fā)幣方加強(qiáng)保護(hù)。

　　360集團(tuán)信息安全部負(fù)責(zé)人高雪峰表示，區(qū)塊鏈興起后，數(shù)字貨幣錢(qián)包相應(yīng)安全標(biāo)準(zhǔn)嚴(yán)重滯后，大部分錢(qián)包開(kāi)發(fā)團(tuán)隊(duì)以業(yè)務(wù)優(yōu)先原則，對(duì)安全性未做足夠的防護(hù)。黑客一旦瞄準(zhǔn)錢(qián)包，找到漏洞，就會(huì)將賬戶(hù)貨幣洗劫一空，而且由于數(shù)字貨幣匿名、不可追蹤等特性，被盜后難以追回。

　　此外，《白皮書(shū)》還給出了數(shù)字貨幣錢(qián)包的安全解決方案。方案包括對(duì)運(yùn)行環(huán)境、協(xié)議交互、數(shù)據(jù)存儲(chǔ)、功能設(shè)計(jì)、域名DNS等近50個(gè)項(xiàng)目進(jìn)行安全審計(jì)檢測(cè)，可實(shí)現(xiàn)對(duì)錢(qián)包的全方位保護(hù)。