數字貨幣:假期安全提醒：捂好錢包，黑客也要回家過年_數字貨幣錢包

近期，CertiK?發布了《2022?年Web3.0??行業安全報告》，在報告中我們可以看到?2022?年對于整個數字資產行業來說是艱難的一年。

2022?年惡意行為者從Web3.0?協議中盜取了價值超過?37?億美元的資產，這個數字比?2021?年的?13?億美元損失增加了?189%?。

這些資產被盜的原因大部分是由于網絡釣魚攻擊中的私鑰泄露或智能合約中的漏洞，但也有相當數量的資金是被盜于數字貨幣錢包。

這些錢包事件既影響了個人用戶，如?FenbushiCapital?的?BoShen：?4200?萬美元的數字貨幣資產被盜；也影響了大批用戶群體，如?Slope?及?Bitkeep?錢包事件，影響了超過?9000?個用戶賬戶。

然而這些事件中的一部分原本是可以避免的——因為這些漏洞可以在錢包安全評估中被發現。

CertiK?在過去幾年中已經保障了數百個錢包應用的安全。

在本文中，我們將重新審視?2022?年發生的與數字貨幣錢包相關的主要安全事件，并探討其技術細節。

此外，我們將對我們在為客戶的錢包應用程序進行研究和安全評估時發現的常見安全漏洞進行總結。文末我們將列出一些可供錢包用戶參考的安全建議，以降低被黑風險。

Ripple首席法律官：SEC上訴將對Ripple有利:金色財經報道，Ripple法律負責人Stuart Alderoty在TechCrunch播客中表示，美國證券交易委員會 (SEC) 在最近的裁決后可能提出上訴，這可能對公司有利。 Alderoty相信，隨著澄清之戰的持續，SEC的任何上訴都將鞏固該公司的部分勝利。 他說：“我們認為法官的做法是正確的，這是對法律的忠實適用，上訴法院不僅會確認這一點，甚至可能會在更大程度上放大這一點。”

Alderoty還預測，如果委員會繼續聲稱數字資產是證券，那么在與加密貨幣公司有關的其他案件中，SEC仍將敗訴。他說：“我們仍然需要一個合理、全面且易于理解的美國加密貨幣監管框架”。[2023/7/27 16:00:51]

Slope?錢包

2022?年最著名、影響最大的加密貨幣錢包安全事件源于Slope?錢包對私鑰的不當處理。

Slope?錢包是一個非托管的數字貨幣錢包，適用于?iOS?和?Android、Chrome?瀏覽器的擴展。

它支持多個區塊鏈，但主要活躍于?Solana?區塊鏈。

2022?年?8?月?2?日晚，價值約?410?萬美元的資產在大約四個小時的時間里被從?9231?名用戶的錢包地址中盜取。

美SEC主席：加密市場和證券法沒有任何不相容之處:金色財經報道，美國證券交易委員會主席Gary Gensler 在社交媒體上稱，加密貨幣市場和證券法沒有任何不相容之處。我們工作的一個目標就是讓這個領域合規。這樣一來，投資者就可以得到與其他市場一樣的、經過時間考驗的保護。[2023/4/7 13:49:31]

在事件發生的前幾個小時，當根本原因不明時，用戶就已出現了恐慌，Solana?區塊鏈被黑的謠言也開始不脛而走。

在攻擊發生的幾小時后，一名推特用戶發布了一張截圖，顯示了來自?Slope?移動錢包的?HTTP?流量。CertiK?發現在導入錢包賬戶時，用戶的助記詞將被發送到?Slope?的?Sentry?日志服務器，任何有權訪問日志的人都可以接管該賬戶并從該地址轉移所有資產。

該攻擊事件發生兩周后，Slope?錢包發布了“取證和事件響應報告”。

從報告中我們可以得知，?2022?年?7?月?28?日起，用戶私鑰就已經會被記錄于數據庫中，然而這一漏洞風險在經過安全審計或是內部審查后其實非常容易被發現。

發布報告后至今，Slope?錢包團隊未于社交媒體上再發表任何回應。

Profanity

國際清算銀行：大部分散戶投資者在比特幣2萬美元時入場:11月16日消息，據國際清算銀行（BIS）發布的最新工作文件顯示，通過分析2015年至2022年95個國家的數據表明，大部分散戶投資者在比特幣2萬美元時入場，其中絕大多數用戶在該價位時下載了加密貨幣交易應用，假設當月購買了100美元的比特幣，那么81%的人此后每個月都會產生浮虧。（彭博社）[2022/11/16 13:11:06]

Profanity?是一個基于?GPU?的?Vanity?地址生成工具，允許用戶生成自己喜歡的?Vanity?自定義外部賬戶和智能合約地址。

Profanity?使用一個隨機的種子數來將其擴展為初始私鑰，并通過?GPU?根據初始私鑰計算數百萬個帳戶，以此暴力創建滿足用戶要求的地址。

從技術上講，Profity?并不是一個錢包應用程序，但它確實有一個與幾乎所有數字貨幣錢包通用的功能：生成錢包賬戶。

這就是由風險賬戶導致了惡劣后果的完美案例。

2022?年?9?月?15?日，1Inch團隊發表了一篇文章《以太坊?vanity?地址工具?Profanity?中披露的一個漏洞》，講述?Profanity?工具使用不安全的種子，該工具生成賬戶的私鑰可以被輕易破解。此后該漏洞首次引起了人們的注意。

歐洲央行或不打算在12月會議上確定縮表啟動時間:10月28日消息，據知情人士透露，歐洲央行目前并不打算在12月會議上宣布縮表啟動時間。在周四的政策會議結束后，歐洲央行行長拉加德表示，管委會決定在12月“繼續”討論如何減少在常規量化寬松（QE）計劃下購買的債券，并“確定關鍵原則”。溝通縮表框架將使決策者得以在采取行動前讓金融市場做好準備并評估投資者的反應。（財聯社）[2022/10/28 11:50:33]

五天后，即?9?月?20?日，最大數字資產做市商之一的Wintermute的一個錢包賬戶被黑，攻擊者利用該賬戶從一個智能合約中提取了約?1.625?億美元。

10?月?11?日，Qanx?Bridge?的部署者賬戶被黑，攻擊者利用該賬戶從?Bridge?上提取$Qanx?并出售。多個攻擊者同時也在區塊鏈上積極尋找有漏洞的賬戶并竊取資金。

這類問題的根本原因在于，種子總數也許只有?2?^?32?。不安全的種子和可逆的暴力過程使恢復使用該工具生成賬戶的私鑰成為可能。CertiK?成功開發了一個概念驗證程序，并能夠恢復?Wintermute?和?Qanx?部署者賬戶的私鑰。

這樣的事件并非獨例。

2013?年，Android?系統的隨機數生成器中，一個類似的漏洞被發現，影響了比特幣錢包的創建。

Celsius債權人委員會反對股東成立單獨委員會的動議:9月29日消息，據外媒報道，加密借貸平臺Celsius無擔保債權人委員會表示，它計劃反對股東提出的成立一個單獨的委員會的動議，并預計Celsius和其他債權人團體也采取一致行動。

此前報道，據Celsius股東律師提交的文件顯示，Celsius股東提出動議要求成立一個委員會，以確保他們在公司的破產程序中得到充分的代表。該文件表示目前存在一個無擔保債權人委員會“專注于為客戶實現價值最大化”，但“目前沒有任何利益相關者主張股權持有人的利益”。關于此事的聽證會定于10月6日舉行。（TheBlock）[2022/9/29 22:38:46]

密碼學是一個復雜的領域，因此很容易犯下損害安全的錯誤。一條金科玉律就是“don'trollyourowncrypto”。

幸運的是，大多數數字貨幣錢包在處理創建錢包賬戶時，都會使用如"bip?39"這樣的既定的庫。

MetaMask?的?iCloud?備份

4?月?17?日，被?3000?多萬人用來存儲和管理數字資產的主流加數字幣錢包?MetaMask?警告其?iOS?用戶，在?AppleiCloud?中存儲錢包秘密存在潛在風險。

如助記詞這樣的錢包敏感信息在上傳到?iCloud?時是加密的，但如果其所有者的?Apple?賬戶被泄露，且使用了低強度的密碼，那他們的數字資產很可能會面臨風險。

這一警告是由一次代價高昂的釣魚攻擊換來的。

在這次攻擊中，推特賬號為@revive_dom?的用戶?DomenicIacovone?損失了大量的數字貨幣和非同質化?token，總計價值約?65?萬美金。

騙子假裝是?Apple?公司的支持人員，借此獲得了?Iacovone?的?iCloud?賬戶的訪問權，并使用存儲的?MetaMask?憑證耗盡了他的錢包，讓他成為了這場社會工程攻擊的受害者。錢包應將包含助記詞的保管庫存儲于不會被?iCloud?備份的位置，如果這一點無法實現，應用程序也應警告用戶：在創建賬戶時禁用?iCloud?備份以確保錢包安全。

SeaFlower

一個安全研究小組發現，有一個組織?SeaFlower?正在傳播合法數字貨幣錢包的惡意版本，會導致用戶的助記詞被通過后門竊取。這些修改過的錢包會按照預期運行，但允許攻擊者通過使用竊取的助記詞來獲取用戶的數字貨幣。

SeaFlower?向盡可能多的用戶傳播數字貨幣錢包應用程序的木馬版本是通過包括創建山寨網站和攻擊搜索引擎優化等各類方式實現的，或是通過社交媒體渠道、論壇和通過惡意廣告推廣這些應用程序，但其主要傳播渠道是通過搜索服務。

研究人員發現，百度引擎的搜索結果尤其會受到?SeaFlower?的影響，將大量流量引向惡意網站。

在?iOS?設備上，攻擊者可以通過濫用配置文件繞過安全保護以對惡意應用進行?side-load——這些配置文件可將開發人員和設備鏈接到授權的開發團隊，并允許設備用于測試應用程序代碼，因此攻擊者可以利用它們向設備添加惡意應用程序。

數字貨幣錢包應用的常見安全問題

錢包敏感信息被上傳到服務器，或在服務器端生成錢包

最關鍵的風險之一是將錢包敏感信息上傳到服務器或在服務器端生成錢包。對于非托管錢包，錢包敏感信息應存儲于用戶的設備中——即使它們是以加密的形式存在，這種高度敏感的數據仍可能會在傳輸過程中被截獲，或者被泄露給能夠訪問服務器的數據庫或日志的人。

不安全的存儲

當敏感信息以純文本或在設備上的不安全位置存儲時，就會出現安全風險。

這種情況包括?Android?上的外部存儲或?iOS?上的“UserDefaults”。

當使用不安全的密鑰派生函數來生成加密密鑰時，或者當使用不安全的加密算法來保護數據時，也可能發生這種情況。

缺少對操作和運行環境的安全檢查

除了安全地存儲數據外，錢包應用程序還應該確保其運行的安全和底層運行環境的安全。這一類的一些常見問題包括缺乏?root?和越獄檢測，無法阻止用戶對錢包敏感信息進行截圖、應用程序在后臺運行時未能隱藏敏感信息，以及允許在敏感輸入字段使用自定義鍵盤。

擴展錢包中缺乏對惡意網站的防范

大多數?DApp?都是?Web?應用程序，使用瀏覽器擴展錢包是最常見的交互方式。

然而，擴展錢包的一個共同問題是缺乏對惡意網站的防范。例如，一個不安全的錢包可能允許惡意網站獲取用戶的錢包賬戶信息，或在用戶同意將其錢包連接到該網站之前接受交易簽名請求；當從惡意網站接收惡意數據時，錢包可能會出現故障。

對錢包用戶的建議

采取預防措施以保護你的數字資產并確保錢包使用安全非常重要。數字貨幣領域充滿了黑客及欺詐者帶來的風險。

下文是一份用戶可以參考或遵循的建議清單，以減少被黑客攻擊的可能性。

①?選擇符合安全標準的錢包。一些錢包可能存在漏洞，容易受到黑客攻擊或其他安全漏洞的影響。請只使用經過安全公司安全測試、徹底檢查潛在的漏洞且認為符合安全標準的錢包。

②從官方的?iOS?商店和?GooglePlay?商店下載應用程序有助于確保你獲取該應用程序的合法版本。

③?保持設備更新十分重要，因為軟件更新通常包括對已發現的漏洞的安全修復。④使用專門的手機或個人電腦來安裝錢包應用程序，請勿使用日常工作的設備，這有助于降低被意外安裝的惡意應用程序破壞的風險。⑤如果你持有大量的數字貨幣，并希望確保其盡可能安全，可以考慮使用硬件錢包。

寫在最后

新?Layer1??和?Layer2??區塊鏈正在持續發展，鑒于許多現有的錢包與這些新的區塊鏈并不兼容，市場上將會推出更多的數字貨幣錢包。

盡可能地降低錢包的安全風險需要用戶和錢包開發者共同的努力：用戶需要遵循最佳實踐并保持警惕以防止被黑客入侵；開發團隊則需要編寫安全的代碼，并對其錢包應用進行安全審計。

Tags：數字貨幣ANISLOPEPLE數字貨幣錢包AniverseSLOPE價格pledge幣釋放時間

比特幣最新價格