比特币突破23000美元，加密钱包安全审计榜，让你放心！

在过去的一个月里，比特币的价值从 18,000 美元涨到了 20,000 美元。 币圈传出消息：圣诞节前，比特币势必大涨。

昨晚，BTC冲上23000高位非常有竞争力。

以比特币的崛起为首，币圈陷入狂潮，加密数字市场火爆。 以太坊、瑞波币和莱特币等加密货币也在上涨。

从昨天晚上到今天，币圈上演了一幕幕大规模的“真香”场面，市场狂热的投资者纷纷投入“厮杀”。

与 2017 年的比特币狂潮相比，这次反弹看起来可能更加稳定。

2020年对每个人来说都是特殊的一年。 疫情爆发，币圈动荡。 去中心化金融DeFi的出现和发展热潮，让区块链重新开始受到人们的关注。

随着新的区块链项目上线，2000多个加密资产、越来越多的加密钱包进入市场，越来越多的用户开始涌入这一领域。 当加密领域拥有的资产越来越大时，来自安全风险的危机也充分暴露出来。

比特币大涨，你的钱包还安全吗？

近年来，数字钱包安全事件频发。

去年 11 月 19 日，Ars Technica 报道称，两个加密货币钱包数据泄露，220 万账户信息被盗。 安全研究员 Troy Hunt 证实，被盗数据来自加密货币钱包 GateHub 和 RuneScape 机器人提供商 EpicBot 的账户。

这不是 Gatehub 第一次遭受数据泄露。 据报道，去年 6 月，黑客入侵了大约 100 个 XRP Ledger 钱包，导致近 1000 万美元的资金被盗。 ,

2019 年 3 月 29 日，Bithumb 被盗。 据推测，该事件是由于黑客窃取了Bithumb拥有的g4ydomrxhege账户私钥所致。 随即，黑客将盗取的资金分发到火币、HitBTC、WB、EXmo 等多家交易所。 根据非官方数据和用户估计，Bithumb 损失了超过 300 万个 EOS 币（约 1300 万美元）和 2000 万个 XRP 币（约 600 万美元）。 由于数字货币的匿名性和去中心化性，在一定程度上很难追回被盗资产。 因此，钱包的安全性至关重要。

2020年8月9日，CertiK的安全工程师在DEF CON区块链安全大会上发表了主题报告，分享了他们对加密钱包安全的见解。

加密钱包是一种帮助用户管理账户并简化交易流程的应用程序。 一些区块链项目发布加密钱包应用程序以支持链的发展——例如 CertiK Chain 的 Deepwallet。

此外，还有像 Shapeshift 这样的公司构建支持不同区块链协议的钱包。 从安全的角度来看，加密钱包最重要的问题是防止攻击者窃取用户钱包的助记词、私钥等信息。 在过去的一年里，CertiK技术团队对多款加密钱包进行了测试和研究比特币官方钱包，在此分享基于软件对不同类型的加密钱包进行安全评估的方法和流程。

加密钱包基本审计清单

评价一个应用，首先要了解它的工作原理→代码实现是否遵循最好的安全标准→如何纠正和提高安全性不足。

CertiK技术团队制作了一份加密钱包的基本审计清单，反映了所有形式的加密钱包应用（手机、网页、扩展、桌面），尤其是手机和网页钱包如何生成和存储用户私钥。 ● 应用程序如何生成私钥？ ● 应用程序如何以及在哪里存储原始信息和私钥？ ●钱包是否连接到可信赖的区块链节点？ ● 该应用程序是否允许用户配置自定义区块链节点？ 如果允许，恶意区块链节点会对应用程序产生什么影响？ ●应用程序是否连接到中央服务器？ 如果是，客户端应用程序向服务器发送什么信息？ ●应用程序是否要求用户设置强密码？ ● 当用户尝试访问敏感信息或转账时，应用程序是否需要双因素身份验证？ ● 应用是否使用易受攻击的第三方库？ ● 源代码存储库中是否泄露了秘密（例如：API 密钥、AWS 凭证）？ ● 程序源代码中是否存在明显的错误代码实现（如对密码学的误解）？ ● 应用服务器是否强制执行TLS 连接？

手机钱包

手机等移动设备比笔记本电脑更容易丢失或被盗。 在分析针对移动设备的威胁时，重要的是要考虑攻击者可以直接访问用户设备的情况。 作为我们评估的一部分，我们需要找出潜在的问题，如果攻击者获得对用户设备的访问权限，或者如果用户的设备感染了恶意软件，这些问题可能会导致帐户和密码资产受损。 除了基本检查清单外，以下是评估移动钱包时要添加的审核类别： ● 应用程序是否警告用户不要截取敏感数据 – Android 应用程序是否会阻止用户在显示敏感数据时截取屏幕截图？ iOS 应用会警告用户不要截取敏感数据吗？ ● 后台截图是否泄露敏感信息？ ●应用程序是否检测设备是否越狱/root？ ● 应用程序是否锁定了后台服务器的证书？ ● 应用程序是否在程序日志中记录了敏感信息？ ● 应用程序是否包含错误配置的深层链接和意图，它们是否会被利用？ ● 应用包是否混淆了代码？ ●应用程序是否实现了反调试功能？ ●应用程序是否检查应用程序重新打包？ ●(iOS) iOS Keychain 中存储的数据是否具有足够的安全属性？ ● 应用是否受keychain数据持久化影响？ ● 当用户输入敏感信息时，应用程序是否禁用自定义键盘？ ● 应用程序是否安全地使用“webview”加载外部网站？

网络钱包

对于完全去中心化的钱包来说，Web 应用程序正慢慢成为一个不太受欢迎的选择。 MyCrypto不允许用户使用keystore/mnemonic/private key访问web应用中的钱包，MyEtherWallet同样建议用户不要这样做。 与其他三个平台上运行的钱包相比，以Web应用程序的形式钓鱼钱包相对容易； 如果攻击者破坏了 Web 服务器，他可以轻松地将恶意 JavaScript 注入网页。 窃取用户钱包信息。 然而，安全构建并经过全面测试的网络钱包仍然是用户管理其加密资产的最佳选择。 除了上述常规的基本审计类别外，我们在评估客户端网页钱包时，还列出了以下需要审计的类别： ● 应用是否存在跨站脚本XSS漏洞？ ● 应用是否存在点击劫持漏洞？ ● 应用程序是否具有有效的内容安全策略？ ●应用是否存在开放重定向漏洞？ ● 应用程序是否存在HTML 注入漏洞？

现在网络钱包很少使用 cookie，但如果使用，您应该检查：

Cookie 属性 跨站请求伪造 (CSRF) 跨源资源共享 (CORS) 配置错误 ● 应用程序是否包含基本钱包功能以外的功能？ 这些功能中是否存在可以被利用的漏洞？ ● 上述 OWASP Top 10 中未提及的漏洞。

扩展钱包

Metamask 是最著名和最常用的加密钱包之一，以浏览器扩展的形式出现。 扩展钱包在内部的工作方式与 Web 应用程序非常相似。 不同之处在于它包含称为内容脚本和背景脚本的独特组件。 网站通过内容脚本和后台脚本传递事件或消息来与扩展页面通信。 扩展钱包评估中最重要的事情之一是测试恶意网站是否可以在未经用户同意的情况下读取或写入属于扩展钱包的数据。 除了基本的检查清单，以下是评估扩展钱包时要检查的审计类别： 扩展需要什么权限？ ● 扩展应用如何决定允许哪些网站与扩展钱包通信？ ●扩展钱包如何与网页交互？ ● 恶意网站能否利用扩展程序中的漏洞攻击扩展程序本身或浏览器中的其他页面？ ● 恶意网站能否在未经用户同意的情况下读取或修改属于扩展的数据？ ●扩展钱包是否存在点击劫持漏洞？ ● 扩展钱包（通常是后台脚本）在处理消息之前是否检查消息来源？ ● 应用程序是否实施了有效的内容安全策略？

电子桌面钱包

在为 Web 应用程序编写代码之后比特币官方钱包，为什么不使用该代码在 Electron 中构建桌面应用程序呢？

在过去测试的桌面钱包中，大约80%的桌面钱包是基于Electron框架的。 在测试基于 Electron 的桌面应用程序时，不仅要查找 Web 应用程序中可能存在的漏洞，还要检查 Electron 配置是否安全。