查看原文
其他

慢雾:Web3 钱包安全审计项升级

慢雾安全团队 慢雾科技 2023-06-20

6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,据分析,Atomic Wallet 被盗用户目前总损失约 3500 万美元。而 Web3 钱包作为打开 Web3 世界的钥匙,职责是安全地托管用户的加密货币资产,一旦钱包程序本身被黑客攻破,用户的加密货币资产将面临被盗的风险。


因此,慢雾安全团队从 Web3 钱包本身的职责出发,针对 Web 和浏览器扩展钱包推出 Web 前端安全指南;针对钱包密钥生命周期(生成,存储,使用,备份,销毁)的管理,提出最佳的安全实现方式;同时参考 OWASP MASVS(https://owasp.org/www-project-mobile-app-security/)国际标准,为 Web3 钱包客户端的安全制定相关的安全审计项。慢雾安全团队希望通过多年的一线安全攻防经验和优秀的国际标准,尽可能地保证 Web3 钱包客户端上的安全,降低加密货币资产被盗的风险。


同时,Web3 钱包作为 Web3 世界的钥匙,必然要和 Web3 中各种各样的 DApp 交互。在用户的交互过程中,钱包面临着很多安全挑战。黑客很擅长利用交互过程的设计缺陷骗取用户资产,如:利用 UI 劫持、欺骗用户签名;利用盲签名欺骗用户签名利用 Permit 签名盗取用户的资产利用 TransferFrom 零转欺骗用户进行钓鱼采用尾号相同空头实施骗局对 NFT 进行钓鱼等其它通用的钓鱼手法针对用户交互过程和黑客常用钓鱼手法,慢雾安全团队独家提出了用户交互过程的安全审计,该审计项包含:WYSIWYS(所见即所签策略https://en.wikipedia.org/wiki/WYSIWYS);AML 策略;anti-phishing 策略;pre-execution 策略等多个策略来抵御黑客的攻击,降低用户被钓鱼的风险,保证加密货币资产的安全。

基于上述内容,慢雾安全团队针对 Web3 钱包安全审计服务全面升级安全审计项,具体如下:


1、针对浏览器扩展钱包的安全审计项:


浏览器扩展钱包安全审计

审计大类

审计子类

黑灰盒

白盒

签名转账安全

签名安全审计

充值/转账安全审计

交易广播安全审计

密钥安全

密钥生成安全审计

密钥存储安全审计

密钥使用安全审计

密钥备份安全审计

密钥销毁安全审计

随机数安全审计

加密算法安全审计

前端安全

跨站脚本安全审计

HTTP响应头安全审计

组件安全

第三方依赖安全审计

通讯安全

通讯加密安全审计

跨域传输安全审计

架构和业务安全

钱包锁定机制安全审计

业务设计安全审计

技术架构设计安全审计

拒绝服务安全审计

用户交互安全

所见即所签策略

AML 策略

防钓鱼策略

预执行策略

白名单地址策略

密码复杂度策略

注:针对浏览器扩展钱包,慢雾建议务必采用白盒审计,尽可能保证较全面的审计覆盖率。


2、针对移动端和桌面端钱包的安全审计项:

移动端/桌面端钱包安全审计

审计大类

审计子类

黑灰盒

白盒

运行环境安全

运行环境安全审计

源码安全

文件反编译安全审计

权限安全

访问控制策略安全审计

存储安全

数据文件存储安全审计

App 缓存安全审计

SQLite 存储安全审计

通讯安全

通讯加密安全审计

服务端接口安全

接口安全审计

业务安全

业务设计安全审计

浏览器安全

WebKit 安全审计

WebView DOM 安全审计

应用间交互安全

Deeplinks 安全审计

认证安全

基于客户端的认证安全审计

签名转账安全

签名安全审计

充值/转账安全审计

交易广播安全审计

密钥安全

密钥生成安全审计

密钥存储安全审计

密钥使用安全审计

密钥备份安全审计

密钥销毁安全审计

随机数安全审计

加密算法安全审计

组件安全

第三方依赖安全审计

钱包运行时安全

截屏/录屏检测

复制粘贴检测

键盘按键缓存检测

后台模糊检测

挂起唤起安全审计

用户交互安全审计

所见即所签策略

AML 策略

防钓鱼策略

预执行策略

白名单地址策略

密码复杂度策略

注:针对移动端和桌面端钱包,慢雾建议审计费用充足的情况下务必采用白盒审计;如果审计费用不足,也需要保证黑灰盒为主、白盒为辅的审计方式,尽可能保证较全面的审计覆盖率。

如下是慢雾安全团队钱包安全审计的部分案例:



钱包作为加密世界的入口及 Web3 基础设施,确保其安全是对行业生态健康发展的重要保证,而对钱包进行安全审计无疑是确保其安全的最有效解决方案之一。慢雾安全团队建议各项目在上线前先做好安全审计,一方面能够更好地保护用户资产,避免不必要的损失,另一方面也能使生态发展更为健康稳健。


往期回顾

慢雾:Cellframe 被黑简析

香港反洗钱新规上线,慢雾如何以技术赋能监管?

慢雾:Ed25519 实现原理与可延展性问题

MistTrack 案例二|Wasabi Coinjoin 提款分析

引介|EVM 深入探讨 Part 6

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存