慢雾:钱包安全审计新增硬件钱包安全审计项
Web3 硬件钱包是用于存储加密货币和数字资产的物理设备,通常比 Web/APP 钱包更安全,因为它提供了一种离线存储私钥的方式。这意味着在使用硬件钱包和 DApp 进行交互的时候,私钥永远不会暴露在互联网上,从而免受黑客攻击。
相较于 Web/APP 钱包,硬件钱包有更加严格的安全要求,如果硬件钱包在设计之初没有考虑好硬件本身的安全的话,可能会引入无法通过升级固件来修复的安全问题,这种情况只能发布新版本的硬件钱包进行修复。旧版的硬件钱包设备无法满足继续使用的安全要求,且用户的加密货币资产也可能会面临安全风险,这对项目方和用户都是一大损失。
并且硬件钱包往往在供应链,物理安全以及固件代码实现上存在很多安全薄弱点,项目方如果能够在硬件钱包设计之初将这些薄弱点考虑进去,并加入相关安全设计,可以很好地避免硬件钱包设备在出厂后由于安全设计缺失导致的安全问题。
这些年来,慢雾安全团队持续聚焦 Web3 钱包安全,推出了如 Web 钱包安全审计,浏览器扩展钱包安全审计,移动端/桌面端钱包安全审计等服务。
近期,慢雾安全团队对硬件钱包的安全进行深入剖析,并通过威胁建模助力硬件钱包安全和攻击场景化分析,整理了如下的硬件钱包安全审计项:
(注:针对硬件钱包,慢雾建议务必采用白盒审计,以保证较全面的审计覆盖率。)
硬件钱包是托管用户加密资产的重要设备,慢雾安全团队持续为行业生态的发展提供安全能力,通过新增硬件钱包安全审计能力来更好地为项目方和用户的加密货币资产保驾护航,降低加密货币资产被盗风险。目前慢雾安全团队已和 Account Labs 和 OneKey 团队建立长期合作,共同努力保障加密货币资产安全。欢迎有审计需求的项目方联系慢雾安全团队邮箱 team@slowmist.com 咨询合作 :)
往期回顾
慢雾(SlowMist) 做客“校园 VC”创客频道,分享链上反诈知识
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF