近年來,加密錢包安全事件頻發。
根據慢霧MistTrack所接觸的受害者信息收集整理,錢包被盜的事件占比高達60%,顯而易見錢包是最有利可圖的目標,因此,錢包的安全性至關重要,當然,對錢包進行安全審計更是重中之重。
作為在區塊鏈耕耘已久的一員,慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包,如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性,慢霧科技在已有審計項的基礎上進行擴展,新增了對擴展/插件錢包的審計。
下面讓我們以問答形式來一睹為快!
插件錢包與常說的“錢包”有什么不同?
?
插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。
慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]
插件錢包管理的助記詞/私鑰是與DApp相互隔離的,理論上第三方組件(如:DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊,所以安全性有一定的保證。
插件錢包配置簡單,使用更方便,在官方渠道下載安裝后勾選開啟插件,使用時點擊圖標就可進入錢包,并且使用錢包管理助記詞/私鑰。
插件錢包的助記詞/私鑰的管理操作更方便和安全,僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬,簽名一筆交易,或者管理助記詞/私鑰。
慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。
2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。
3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB
4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。
5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。
6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。
7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。
此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]
慢霧在插件錢包安全方面有什么研究?
聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]
?
慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成,助記詞/私鑰的存儲,助記詞/私鑰的使用,助記詞/私鑰的備份,助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究,并梳理插件錢包安全的最佳實踐,并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。
動態 | 慢霧區:已修復EOS智能合約底層asset類溢出缺陷:據慢霧區消息, EOS智能合約底層asset類存在溢出缺陷,目前 EOSIO v1.1.4版本已修復該問題。如果智能合約中使用到了 asset的乘法操作,建議更新對應的代碼并重新編譯合約。因為像 asset這樣的工具代碼是靜態編譯進合約中的,必須重新編譯才能解決其中的安全隱患。[2018/8/9]
如:
1.某些場景下可通過DApp頁面獲取助記詞/私鑰;
2.某些場景下可通過跨域方式獲取助記詞/私鑰;
3.某些場景下可在錢包鎖定后獲取助記詞/私鑰;
4.某些場景下可構造簽名數據進行假充值/假轉賬。
(攻擊面很多,歡迎來撩:-))
慢霧對插件錢包的整體安全審計是什么樣的?
?
慢霧安全團隊對錢包的審計涵蓋滲透測試內容,且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案,還會提出建議執行的安全增強點或最佳安全實踐,以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據,并根據項目方需求出具專業的安全審計報告。具體可參考:
https://www.slowmist.com/service-wallet-security-audit.html
當慢霧在審計插件錢包時,慢霧在審什么?
?
對于任何一款錢包來說,賬戶安全/私鑰安全都是極為重要的。因此,我們在對擴展/插件錢包進行審計時,仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖:
插件錢包安全審計主要使用哪些測試方式?
?
我們主要采用“黑盒與灰盒結合為主,白盒為輔”的方式。
黑盒測試:站在外部從攻擊者角度進行安全測試。
灰盒測試:通過腳本工具對代碼模塊進行安全測試,觀察內部運行狀態,挖掘弱點。
白盒測試:基于項目的源代碼,進行脆弱性分析和漏洞挖掘。
如何理解漏洞等級?
?
嚴重漏洞:會對項目的安全造成重大影響。
高危漏洞:會影響項目的正常運行。
中危漏洞:會影響項目的運行。
低危漏洞:可能在特定場景中會影響項目的業務操作。
弱點:理論上存在安全隱患,但工程上極難復現。
增強建議:編碼或架構存在更好的實踐方法。
對插件錢包有什么展望?
?
隨著區塊鏈產業的多鏈多元化發展,插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包,例如:波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展,還是很可觀的,非常值得關注。
有什么想對大家說的?
?
加密錢包審計重點在于解決常見的安全漏洞,規避可能出現的安全風險。作為用戶,希望能增強安全意識,不要隨意泄露助記詞/私鑰。作為項目方,對于安全問題的重視程度遠遠不夠,希望加密錢包項目方對于安全標準能有更好的認識,與我們一起共同保護用戶資產的安全。
來源鏈接:mp.weixin.qq.com
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/10227688.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
比爾·蓋茨再談ChatGPT:將改變我們的世界!
Tags:ULTVAULTEOSAPPBAYC Vault (NFTX)RINGER Vault (NFTX)eos幣有價值嗎metamaskapp下載
本文系鏈捕手原創文章,作者為RichardLee。在缺乏監管的惡性競爭下,加密衍生品交易所們將杠桿倍數從20倍抬升至100倍、125倍,乃至150倍,盡管自身從中獲利豐厚,但對于加密市場的健康度.
1900/1/1 0:00:00為幫助用戶更輕松實現數字資產量化交易,Gate.io量化交易中心全面升級,改名“量化跟單”全新上線,功能及頁面全面升級.
1900/1/1 0:00:00版本更新 為了更友好地支持Polygon、xDai、Fantom、BSC、HECO、OKEx等EVM兼容鏈,imToken2.9.4支持了EVM兼容鏈上的代幣自動發現和價格顯示.
1900/1/1 0:00:00親愛的BitMart用戶:CHA智能合約升級即將完成,將為后續OliveChain主網上線提供夯實基礎,BitMart將會支持CHA的智能合約更換。BitMart將暫停所有CHA相關的功能.
1900/1/1 0:00:00親愛的用戶: 由于NYFI/USDT、MASS/USDT、HBO/USDT等3個交易對流動性不足,HomiEx將于2021年8月6日下架以上3個交易對.
1900/1/1 0:00:00親愛的Kucoin用戶:我們很高興地宣布,KuCoin將上線ChinaNetwork(XCH)項目并支持交易對XCH/USDT.
1900/1/1 0:00:00