BTC
ETH
HTX
SOL
BNB
View Market
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
ホーム
フラッシュニュース
深層分析
記事
ホットスポット
特集
イベント
視点
ツール
ダウンロード
設定
API
Theme Switch
ログイン

ビットコインは23,000ドルを突破しました、あなたの財布は安全ですか?

CertiK
特邀专栏作者
2020-12-18 07:53
この記事は約4381文字で、全文を読むには約7分かかります
CertiK 技術チームは、複数の暗号化ウォレットのセキュリティ評価を実施し、さまざまな種類の暗号化ウォレットに基づいて監査カテゴリの完全なリストを作成しました。
AI要約
展開
CertiK 技術チームは、複数の暗号化ウォレットのセキュリティ評価を実施し、さまざまな種類の暗号化ウォレットに基づいて監査カテゴリの完全なリストを作成しました。

過去 1 か月間で、ビットコインの価値は 18,000 ドルから 20,000 ドルに上昇しました。通貨界にニュースがある。クリスマス前にビットコインが急騰するのは確実だという。

昨夜、BTCは非常に競争力のある23,000の高水準まで急騰しました。

ビットコインの上昇に導かれて通貨界は熱狂し、暗号化デジタル市場が熱気を帯び、イーサリアム、リップル、ライトコインなどの仮想通貨も上昇傾向にあります。

昨日の夕方から今日にかけて、為替界では大規模な「真の香り」の場面が演出され、市場の熱心な投資家が次々と「戦い」に参入した。

2017年のビットコインの熱狂と比較すると、今回の上昇はより安定しているように見える。

2020年は誰にとっても特別な年で、疫病が発生し、通貨圏は混乱に陥りました。分散型金融DeFiの出現と開発ブームにより、ブロックチェーンが再び人々の注目を集め始めています。

新しいブロックチェーンプロジェクトの立ち上げにより、2,000以上の暗号化資産、ますます多くの暗号化ウォレットが市場に参入し、ますます多くのユーザーがこの分野に流入し始めています。

副題

ビットコインが高騰していますが、あなたの財布はまだ大丈夫ですか?

近年、デジタルウォレットのセキュリティ事故が多発しています。

昨年11月19日、Ars Technicaは2つの仮想通貨ウォレットのデータが漏洩し、220万件のアカウント情報が盗まれたと報告した。セキュリティ研究者のトロイ・ハント氏は、盗まれたデータは仮想通貨ウォレットのGateHubとRuneScapeボットプロバイダーのEpicBotのアカウントからのものであることを認めた。

Gatehubがデータ侵害に見舞われたのはこれが初めてではない。昨年 6 月、ハッカーが約 100 個の XRP Ledger ウォレットを侵害し、その結果、1,000 万ドル近くの資金が盗まれたと報告されています。

2019 年 3 月 29 日、Bithumb が盗難されました。この事件は、Bithumb が所有する g4ydomrxhege アカウントの秘密キーをハッカーが盗んだことによって引き起こされたと推測されています。
ハッカーはすぐに、盗んだ資金をHuobi、HitBTC、WB、EXmoなどのさまざまな取引所に分配しました。非公式データとユーザーの推定によると、Bithumb は 300 万枚の EOS コイン (約 1,300 万米ドル) と 2,000 万枚の XRP コイン (約 600 万米ドル) 以上の損失を被りました。
デジタル通貨の匿名性と分散化により、盗難された資産を回復することはある程度困難です。したがって、ウォレットのセキュリティは最も重要です。
2020 年 8 月 9 日、CertiK のセキュリティ エンジニアは DEF CON ブロックチェーン セキュリティ カンファレンスで次のテーマについて講演しました。Exploit Insecure Crypto Wallet (暗号化ウォレットの脆弱性利用と分析)基調報告では、暗号化されたウォレットのセキュリティに関する洞察が共有されました。
暗号ウォレットは、ユーザーが自分のアカウントを管理し、取引プロセスを簡素化するのに役立つアプリケーションです。
一部のブロックチェーン プロジェクトでは、CertiK Chain の Deepwallet など、チェーンの開発をサポートするために暗号化されたウォレット アプリケーションをリリースしています。
さらに、Shapeshift のような、さまざまなブロックチェーン プロトコルをサポートするウォレットを構築する企業もあります。
セキュリティの観点から、暗号化ウォレットの最も重要な問題は、攻撃者がユーザーのウォレットのニーモニックワードや秘密鍵などの情報を盗むのを防ぐことです。

副題

暗号ウォレットの基本監査チェックリスト

アプリケーションを評価するには、まずその動作原理を理解する必要があります→コード実装が最適なセキュリティ標準に従っているかどうか→不十分なセキュリティを修正および改善する方法。
CertiK 技術チームは、暗号化ウォレットの基本的な監査チェックリストを作成しました。これは、あらゆる形式の暗号化ウォレット アプリケーション (モバイル、Web、拡張機能、デスクトップ)、特にモバイルおよび Web ウォレットがユーザーの秘密鍵を生成および保存する方法を反映しています。
  • アプリケーションはどのように秘密鍵を生成するのでしょうか?
  • アプリケーションは生の情報と秘密鍵をどこにどのように保存しますか?
  • ウォレットは信頼できるブロックチェーン ノードに接続されていますか?
  • アプリケーションではユーザーがカスタム ブロックチェーン ノードを構成できますか?許可された場合、悪意のあるブロックチェーン ノードはアプリケーションにどのような影響を及ぼしますか?
  • アプリケーションは集中サーバーに接続しますか? 「はい」の場合、クライアント アプリケーションはどのような情報をサーバーに送信しますか?
  • アプリケーションではユーザーが強力なパスワードを設定する必要がありますか?
  • ユーザーが機密情報にアクセスしたり送金しようとしたりするときに、アプリケーションは 2 要素認証を必要としますか?
  • アプリケーションは、悪用される可能性のある脆弱なサードパーティ ライブラリを使用していますか?
  • ソースコードリポジトリに機密情報 (例: API キー、AWS 認証情報) が漏洩していませんか?
  • プログラムのソース コードに明らかな悪いコード実装 (暗号化の誤解など) はありますか?
  • 副題

モバイルウォレット

携帯電話などのモバイル デバイスは、ラップトップよりも紛失または盗難される可能性が高くなります。

モバイル デバイスに対する脅威を分析する場合、攻撃者がユーザーのデバイスに直接アクセスできる状況を考慮することが重要です。
評価の一環として、攻撃者がユーザーのデバイスにアクセスした場合、またはユーザーのデバイスがマルウェアに感染した場合に、アカウントとパスワード資産の侵害につながる可能性のある潜在的な問題を特定する必要があります。
基本的なチェックリストに加えて、モバイル ウォレットを評価するときに追加する監査カテゴリを次に示します。
  • アプリは機密データのスクリーンショットを撮らないようにユーザーに警告しますか - Android アプリは機密データを表示するときにユーザーがスクリーンショットを撮ることを妨げますか? iOS アプリは機密データのスクリーンショットを撮らないようにユーザーに警告しますか?
  • アプリはバックグラウンドのスクリーンショットで機密情報を漏洩しますか?
  • アプリはデバイスがジェイルブレイク/ルート化されているかどうかを検出しますか?
  • アプリケーションはバックグラウンド サーバーの証明書をロックしますか?
  • アプリケーションはプログラムのログに機密情報を記録しますか?
  • アプリケーションには誤って設定されたディープリンクとインテントが含まれていますか?それらが悪用される可能性はありますか?
  • アプリケーションバンドルはコードを難読化しますか?
  • アプリケーションはアンチデバッグ機能を実装していますか?
  • アプリケーションはアプリケーションの再パッケージ化をチェックしますか?
  • (iOS) iOS キーチェーンに保存されているデータには十分なセキュリティ特性がありますか?
  • アプリケーションはキーチェーン データの永続性の影響を受けますか?
  • ユーザーが機密情報を入力すると、アプリケーションはカスタム キーボードを無効にしますか?
  • 副題

ウェブウォレット

Web アプリケーションは、完全に分散化されたウォレットの選択肢として徐々に人気がなくなりつつあります。 MyCrypto では、ユーザーがキーストア/ニーモニック/秘密キーを使用して Web アプリケーションのウォレットにアクセスすることは許可されておらず、MyEtherWallet も同様に、そうしないようユーザーにアドバイスしています。
他の 3 つのプラットフォームで実行されているウォレットと比較すると、Web アプリケーションの形式でウォレットをフィッシングするのは比較的簡単であり、攻撃者が Web サーバーを侵害すると、悪意のある JavaScript を Web ページに簡単に挿入して、ユーザーのウォレット情報を盗むことができます。
ただし、安全に構築され、徹底的にテストされたウェブウォレットは、ユーザーが暗号資産を管理するための最良の選択であることに変わりはありません。
上記の通常の基本的な監査カテゴリに加えて、クライアントのウェブウォレットを評価する際には、監査が必要な次のカテゴリもリストします。
  • アプリケーションはクロスサイト スクリプティング (XSS) に対して脆弱ですか?
  • アプリケーションはクリックジャッキングに対して脆弱ですか?
  • アプリケーションには有効なコンテンツ セキュリティ ポリシーがありますか?
  • アプリケーションには未解決のリダイレクト脆弱性がありますか?
  • アプリケーションは HTML インジェクションに対して脆弱ですか?

  • 最近では Web ウォレットで Cookie が使用されることはほとんどありませんが、使用されている場合は、次のことを確認する必要があります。

クッキー属性
クロスサイト リクエスト フォージェリ (CSRF)
Cross-Origin Resource Sharing (CORS) の構成ミス
  • アプリには基本的なウォレット機能以外の機能が含まれていますか? これらの機能には悪用される可能性のある脆弱性がありますか?
  • 副題

拡張ウォレット

最も有名で使用されている暗号ウォレットの 1 つであるメタマスクは、ブラウザ拡張機能の形式で提供されます。
拡張ウォレットは内部的には Web アプリケーションと同様に動作します。
違いは、コンテンツ スクリプトとバックグラウンド スクリプトと呼ばれる独自のコンポーネントが含まれていることです。
Web サイトは、コンテンツ スクリプトおよびバックグラウンド スクリプトを通じてイベントまたはメッセージを渡すことによって、拡張ページと通信します。
拡張ウォレットの評価で最も重要なことの 1 つは、悪意のある Web サイトがユーザーの同意なしに拡張ウォレットに属するデータを読み書きできるかどうかをテストすることです。
基本的なチェックリストに加えて、拡張ウォレットを評価する際にチェックすべき監査カテゴリは次のとおりです。

  • 拡張機能はどのような権限を要求しますか?

  • 拡張機能アプリは、どの Web サイトが拡張機能ウォレットとの通信を許可するかをどのように決定しますか?

  • 拡張機能ウォレットは Web ページとどのようにやり取りしますか?

  • 悪意のある Web サイトが拡張機能の脆弱性を利用して、拡張機能自体やブラウザ内の他のページを攻撃する可能性はありますか?

  • 悪意のある Web サイトは、ユーザーの同意なしに拡張機能に属するデータを読み取ったり、変更したりする可能性がありますか?

  • 拡張機能ウォレットはクリックジャッキングに対して脆弱ですか?

  • 拡張機能ウォレット (通常はバックグラウンド スクリプト) は、メッセージを処理する前に送信元をチェックしますか?

  • 副題

電子デスクトップウォレット

Web アプリケーションのコードを作成した後、そのコードを使用して Electron でデスクトップ アプリケーションを構築してみてはいかがでしょうか。

過去にテストされたデスクトップウォレットのうち、デスクトップウォレットの約80%はElectronフレームワークに基づいています。 Electron ベースのデスクトップ アプリケーションをテストするときは、Web アプリケーションの潜在的な脆弱性を探すだけでなく、Electron の構成が安全であることも確認してください。

CertiK がターゲットとしているのは、Electron のデスクトップ アプリケーションの脆弱性分析については、クリックしてこの記事にアクセスし、詳細をご覧ください。

Electron ベースのデスクトップ ウォレットを評価する際にチェックされる監査カテゴリは次のとおりです。

  • アプリケーションはどのバージョンの Electron を使用していますか?

  • アプリケーションはリモート コンテンツをロードしますか?

  • アプリケーションは「nodeIntegration」と「enableRemoteModule」を無効にしていますか?

  • アプリケーションで「contextisolation」、「sandbox」、および「webSecurity」オプションが有効になっていますか?

  • アプリケーションでは、ユーザーが同じウィンドウ内の現在のウォレット ページから任意の外部ページにジャンプできますか?

  • アプリケーションは効果的なコンテンツ セキュリティ ポリシーを実装していますか?

  • プリロード スクリプトには悪用される可能性のあるコードが含まれていますか?

  • アプリケーションはユーザー入力を危険な関数 (「openExternal」など) に直接渡しますか?

  • 副題

サーバー側の脆弱性チェックリスト

私たちがテストした暗号通貨ウォレット アプリの半分以上には集中サーバーがなく、ブロックチェーン ノードに直接接続されていました。

CertiK 技術チームは、これが攻撃対象領域を減らし、ユーザーのプライバシーを保護する方法であると考えています。

ただし、アプリケーションがアカウント管理やトークン転送よりも多くの機能を顧客に提供したい場合、アプリケーションにはデータベースとサーバー側コードを備えた集中サーバーが必要になる場合があります。

サーバー側コンポーネントをテストする項目は、アプリケーションの特性に大きく依存します。
当社の調査および顧客との連携中に発見されたサーバー側の脆弱性に基づいて、次の脆弱性チェックリストを作成しました。もちろん、サーバー側の考えられるすべての脆弱性をカバーしているわけではありません。
  • 認証と認可
  • KYCとその有効性
  • 競合状態
  • クラウドサーバー設定エラー
  • Webサーバーの設定ミス
  • 安全でない直接オブジェクト参照 (IDOR)
  • サーバーサイドリクエストフォージェリ(SSRF)
  • 安全でないファイルのアップロード
  • あらゆる種類のインジェクション (SQL、コマンド、テンプレート) の脆弱性
  • 任意のファイルの読み取り/書き込み
  • ビジネスロジックエラー
  • レート制限
  • サービス拒否

  • 要約する

要約する

テクノロジーの発展に伴い、ハッカーによる不正行為や攻撃手法はますます多様化しています。
CertiKセキュリティ技術チームは、暗号化されたウォレットのセキュリティリスクを共有することで、ユーザーがデジタル通貨ウォレットのセキュリティ問題をより深く理解し、警戒心を高めることができると期待している。
現段階では、多くの開発チームはビジネスよりもセキュリティ問題にあまり注意を払っておらず、自社のウォレット製品に十分なセキュリティ保護を提供していません。 CertiKは、暗号化ウォレットのセキュリティ監査カテゴリを共有することで、暗号化ウォレットのプロジェクト関係者が製品のセキュリティ標準を明確に理解し、それによって製品のセキュリティのアップグレードを促進し、共同してユーザー資産のセキュリティを保護することを期待しています。
デジタル通貨攻撃は複数の技術的側面からなる総合的な攻撃であり、コンピュータハードウェア、ブロックチェーンソフトウェア、ウォレットなどのブロックチェーンサービスソフトウェア、スマートコントラクトなど、デジタル通貨の管理・流通プロセスに関わるあらゆるアプリケーションのセキュリティを考慮する必要があります。
暗号化ウォレットは、同じ手法による複数の攻撃を回避するために潜在的な攻撃手法の検出と監視に注意を払う必要があり、重要なデジタル通貨を保存するために物理的に暗号化されたオフラインのコールドストレージ(コールドストレージ)を使用して、デジタル通貨アカウントのセキュリティ保護手法を強化する必要があります。 。さらに、専門のセキュリティ チームを雇ってネットワーク レベルのテストを実施し、リモート シミュレーション攻撃の抜け穴を見つける必要があります。

WeChat [certikchina] を検索して CertiK の公式 WeChat 公開アカウントをフォローし、公開アカウントの下部にあるダイアログ ボックスをクリックし、メッセージを残して無料の相談と見積もりを入手してください。

安全
投资
钱包
Odaily公式コミュニティへの参加を歓迎します
購読グループ
https://t.me/Odaily_News
チャットグループ
https://t.me/Odaily_CryptoPunk
公式アカウント
https://twitter.com/OdailyChina
チャットグループ
https://t.me/Odaily_CryptoPunk
検索
記事目次
著者ライブラリ
CertiK
CertiK が Skynet レポートを発表: 米国のデジタル資産規制が初めて体系的な枠組みを形成する。
記事ホットランキング
Daily
Weekly
カルシ氏はコインベース、ロビンフッドなどと予測市場コンソーシアムを結成し、「カジノ理論」の終焉を目指している。
カルシ氏はコインベース、ロビンフッドなどと予測市場コンソーシアムを結成し、「カジノ理論」の終焉を目指している。
Axe Compute [NASDAQ: AGPU] が企業再編を完了 (旧 POAI)、エンタープライズ グレードの分散型 GPU コンピューティング パワーである Aethir が正式に主流市場に参入します。
ニーモニックフレーズのない Web3: AA × Passkey は、暗号通貨の次の 10 年をどのように定義するのでしょうか。
TGA アワード前夜の 100 万ドルの賭け: 年間最優秀ゲームを予測したのは誰か?
Metaplanet がビットコインの保有を一時停止する意図は何ですか?
Odailyプラネットデイリーアプリをダウンロード
一部の人々にまずWeb3.0を理解させよう
IOS
Android
会社概要
お問い合わせ
採用情報
パートナーリンク
広告協力
利用規約
プライバシーポリシー
免責事項
メディアキット
海南省モディ文化メディア有限責任会社
琼ICP备 2022000863号