慢雾 | 钱包安全审计服务全面增加插件钱包安全审计项
近年来,加密钱包安全事件频发。
根据慢雾 MistTrack 所接触的受害者信息收集整理,钱包被盗的事件占比高达 60%,显而易见钱包是最有利可图的目标,因此,钱包的安全性至关重要,当然,对钱包进行安全审计更是重中之重。
作为在区块链耕耘已久的一员,慢雾科技在区块链世界独特的安全架构方面拥有丰富且领先的实战经验。慢雾的相关安全服务已经覆盖超数十家行业内顶级的钱包,如 imToken、Huobi Wallet、RenrenBit 钱包等。为了更好地增强各类加密钱包的安全性,慢雾科技在已有审计项的基础上进行扩展,新增了对扩展/插件钱包的审计。
下面让我们以问答形式来一睹为快!
插件钱包与常说的“钱包”有什么不同?
插件钱包管理的助记词/私钥是与 DApp 相互隔离的,理论上第三方组件 (如:DApp 或其他插件) 很难通过技术手段突破隔离对插件钱包进行攻击,所以安全性有一定的保证。
慢雾在插件钱包安全方面有什么研究?
如:1. 某些场景下可通过 DApp 页面获取助记词/私钥;2. 某些场景下可通过跨域方式获取助记词/私钥;3. 某些场景下可在钱包锁定后获取助记词/私钥;4. 某些场景下可构造签名数据进行假充值/假转账。(攻击面很多,欢迎来撩 :-) )
慢雾对插件钱包的整体安全审计是什么样的?
当慢雾在审计插件钱包时,慢雾在审什么?
插件钱包安全审计主要使用哪些测试方式?
我们主要采用 “黑盒与灰盒结合为主,白盒为辅” 的方式。
黑盒测试:站在外部从攻击者角度进行安全测试。
灰盒测试:通过脚本工具对代码模块进行安全测试,观察内部运行状态,挖掘弱点。
白盒测试:基于项目的源代码,进行脆弱性分析和漏洞挖掘。
如何理解漏洞等级?
严重漏洞:会对项目的安全造成重大影响。
高危漏洞:会影响项目的正常运行。
中危漏洞:会影响项目的运行。
低危漏洞:可能在特定场景中会影响项目的业务操作。
弱点:理论上存在安全隐患,但工程上极难复现。
增强建议:编码或架构存在更好的实践方法。
对插件钱包有什么展望?
有什么想对大家说的?
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm