隨著數字資產迅猛發展,錢包安全風險日益明顯。普華永道中國作為安全領域的權威,對區塊鏈安全持續深入研究。他們對數字資產錢包安全的見解,值得我們關注。
錢包安全分類
普華永道中國憑借豐富的經驗和深入研究,將數字資產錢包的安全問題劃分為APP安全、服務端安全以及業務安全三大類別。鑒于數字資產錢包并不完全依賴中心化服務器,因此其自身的安全性至關重要。以我們日常使用的錢包為例,若錢包本身不安全,那么其中的數字資產就如同置于一個未上鎖的柜子中一般,毫無保障。
APP安全歸納
APP的安全性可以從六個關鍵點來概括,涉及私鑰保護、助記詞保密、密碼管理、Keystore安全、客戶端安全以及本地數據存儲安全。這些要素彼此緊密相連,任何一個環節的疏忽都可能對整個錢包的安全性構成威脅。以市場上的數字資產錢包為例,哪怕一個環節的防護不到位,用戶的資產安全也可能受到威脅。
私鑰重要性
私鑰位于錢包的核心位置,同時也是最為關鍵和易受侵犯的信息。若私鑰不幸外泄,黑客便能夠輕松獲取用戶的數字財產。以銀行金庫的鑰匙來類比,私鑰就像是開啟金庫的獨一份鑰匙,一旦遺失,后果將極為嚴重。回顧近幾年發生的多起數字資產被盜案例,其中不少就是由于私鑰泄露所引起的。
助記詞風險
助記詞與私鑰不同,它需要用戶親自操作。若操作失誤,可能會造成信息泄露。這串密碼就好比是開啟寶藏的鑰匙,一旦使用不慎,就可能落入他人之手。比如,有些用戶在公共場所記錄助記詞,這無疑給自己資產的安全埋下了隱患。
密碼安全
盡管密碼的安全級別不及私鑰和助記詞,但它同樣是重要的敏感信息。一旦密碼被泄露,攻擊者可能會利用撞庫技術,結合社會工程學手段,破解用戶在其他系統中的賬戶。許多用戶習慣在不同平臺上使用相同的密碼,若數字資產錢包的密碼泄露,其他賬戶也可能面臨風險。
Keystore特性
Keystore是一串加密的字符,泄露它本身并不會危害錢包安全。然而,如果交易密碼和Keystore文件一同泄露,攻擊者就能輕易恢復錢包。這就像保險柜和密碼一樣,單獨泄露保險柜信息或密碼問題不大,但兩者同時泄露,里面的財物就面臨風險。現實中,就有黑客通過獲取這兩項信息盜走了用戶的資產。
客戶端考慮
主流數字資產的錢包分為適用于Android和iPhone的兩種移動版本,這要求我們必須關注其安全性能。移動設備的使用環境多變,很容易遭受網絡攻擊。比如,在公共場所的Wi-Fi下,錢包客戶端很容易遭受攻擊。如果客戶端的安全防護措施不夠完善,攻擊者就會有機可乘,從而對錢包的安全構成威脅。
傳統安全關聯
普華永道提出,傳統安全因素應被包含在數字資產錢包的安全評估中。當前,區塊鏈領域的安全問題頻發,其中不少問題源自傳統安全的缺陷。數字資產與傳統安全緊密相連,比如網絡釣魚、惡意軟件等傳統安全風險,在數字資產錢包中同樣可能造成嚴重后果。
業務邏輯漏洞
業務流程中可能存在嚴重邏輯缺陷,若被黑客發現并利用,將導致用戶遭受損失。若交易流程設計有缺陷,黑客便有機會通過這些漏洞獲利。據數據統計,許多數字資產被盜事件都是黑客通過業務邏輯漏洞實現的。
功能設計缺陷
若錢包軟件在功能設計上存在不足,可能損害用戶權益及財產安全。以交易確認環節為例,若設計不當,用戶可能因誤操作而遭受損失。不少早期版本的錢包因設計不夠完善,常發生誤轉賬等狀況,給用戶帶來極大困擾。
保障措施建議
設計錢包軟件時,必須全方位確保用戶信息安全,比如每次啟動軟件都需輸入登錄密碼。采取一些簡便措施,可以進一步增強錢包的安全性,就如同給家門再加一把鎖。不少知名的錢包應用通過增設驗證步驟,成功減少了安全風險。
后續服務進展
普華永道已對主流數字資產錢包進行了安全評分體系測試,并已公布評分結果。未來文章將逐一介紹相關內容。此外,普華永道還獨立研發了安全測試工具,詳情將在后續文章中闡述。憑借豐富的經驗,普華永道可為各類組織提供專業的數字資產安全評估服務。
在使用數字資產的錢包時,大家最擔憂的是哪方面的安全問題?歡迎留言交流,點贊并轉發這篇文章。
