8成數字貨幣錢包存安全隱患 加強安全審計刻不容緩

隨著區塊鏈技術普及，數字貨幣漸漸走進大眾視野，各種“錢包”也如雨后春筍般冒出來，但是這些錢包的安全性卻令人擔心。

日前，在中國計算機學會主辦的青年精英論壇上，360集團信息安全部發布《數字貨幣錢包安全白皮書》(簡稱《白皮書》)。《白皮書》稱，目前，市場上最為主流的近20多款錢包八成存在安全隱患，加強對錢包的安全審計刻不容緩。

“近期，我們發現國外某知名錢包APP存在加密存儲漏洞，該錢包APP在第一次運行時，默認為用戶創建一個新錢包并將錢包文件未加密存儲在系統本地，攻擊者可讀取存儲的錢包文件，通過對錢包應用逆向分析等技術手段，還原該錢包的算法邏輯，并由此直接恢復出用戶的助記詞以及根密鑰等敏感數據。”在論壇現場，一位安全人員如是說。

像這樣的例子還有很多，《白皮書》稱，安全人員對市場上近20款數字貨幣通用錢包APP、發幣公司官方錢包APP進行模擬攻擊，涉及使用錢包應用、貨幣交易、軟件防護等，從貨幣出生到交易完成的全流程。存在安全隱患的數字貨幣錢包超過八成，其中21%操作存在截屏、錄屏記錄；26%未檢測到系統運行環境；9%存在錢包APP偽造漏洞；6%交易密碼未檢測弱口令；38%核心代碼未加固等。

安全人員在無root權限(安卓手機的最高權限)下的截屏、錄屏可以得到助記詞、交易密碼等信息；利用Janus簽名問題(簽名漏洞可以讓攻擊者繞過安卓系統的簽名機制)對APP進行偽造；將軟件植入惡意代碼，可以修改轉賬人地址等操作。這些都會直接威脅用戶數字貨幣安全。

《白皮書》介紹，根據使用時的聯網狀態不同，數字貨幣錢包分為“熱錢包”和“冷錢包”。總體上來說，“熱錢包”漏洞多于“冷錢包”，攻擊面更多，更需要用戶和發幣方加強保護。

360集團信息安全部負責人高雪峰表示，區塊鏈興起后，數字貨幣錢包相應安全標準嚴重滯后，大部分錢包開發團隊以業務優先原則，對安全性未做足夠的防護。黑客一旦瞄準錢包，找到漏洞，就會將賬戶貨幣洗劫一空，而且由于數字貨幣匿名、不可追蹤等特性，被盜后難以追回。

此外，《白皮書》還給出了數字貨幣錢包的安全解決方案。方案包括對運行環境、協議交互、數據存儲、功能設計、域名DNS等近50個項目進行安全審計檢測，可實現對錢包的全方位保護。