BTC
ETH
HTX
SOL
BNB
시장 동향 보기
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
플래시 뉴스
심층 분석
기사
핫스팟
특집
이벤트
관점
도구
다운로드
설정
API
Theme Switch
로그인

비트코인 23,000달러 돌파, 당신의 지갑은 안전한가요?

CertiK
特邀专栏作者
2020-12-18 07:53
이 기사는 약 4381자로, 전체를 읽는 데 약 7분이 소요됩니다
CertiK 기술 팀은 여러 암호화된 지갑에 대한 보안 평가를 수행하고 다양한 유형의 암호화된 지갑을 기반으로 전체 감사 범주 목록을 만들었습니다.
AI 요약
펼치기
CertiK 기술 팀은 여러 암호화된 지갑에 대한 보안 평가를 수행하고 다양한 유형의 암호화된 지갑을 기반으로 전체 감사 범주 목록을 만들었습니다.

지난달 비트코인의 가치는 18,000달러에서 20,000달러로 상승했습니다. 통화계에 뉴스가 있습니다. 크리스마스 전에 Bitcoin이 급격히 상승할 것입니다.

어젯밤 BTC는 매우 경쟁적으로 23,000의 높은 수준으로 돌진했습니다.

비트코인의 부상을 필두로 화폐계는 광란에 빠졌고, 암호화폐 디지털 시장은 뜨겁다.이더리움, 리플, 라이트코인 등 암호화폐도 뜨고 있다.

어제 저녁부터 오늘까지 화폐계는 대규모'진정한 향기'의 장면을 연출했고, 시장의 열광적인 투자자들이 잇달아'싸움'에 돌입했다.

2017년 비트코인 ​​열풍에 비하면 이번 랠리는 좀 더 안정적일 것으로 보인다.

2020년은 모두에게 특별한 해로, 전염병이 발생하고 통화권이 혼란에 빠졌습니다. 분산형 금융 DeFi의 출현과 개발 붐은 블록체인이 다시 사람들의 관심을 끌기 시작했습니다.

새로운 블록체인 프로젝트의 출시와 함께 2,000개 이상의 암호화된 자산, 점점 더 많은 암호화된 지갑이 시장에 진입했고 점점 더 많은 사용자가 이 분야로 몰려들기 시작했습니다.

보조 제목

비트코인 폭등, 당신의 지갑은 안전한가요?

최근 몇 년 동안 디지털 지갑 보안 사고가 자주 발생했습니다.

지난해 11월 19일 아르스테크니카는 암호화폐 지갑 데이터 2건이 유출됐으며 220만 계정 정보가 도용됐다고 보도했다. 보안 연구원 Troy Hunt는 도난당한 데이터가 암호화폐 지갑 GateHub와 RuneScape 봇 제공업체 EpicBot의 계정에서 나온 것임을 확인했습니다.

Gatehub가 데이터 유출을 겪은 것은 이번이 처음이 아닙니다. 작년 6월, 해커들은 약 100개의 XRP Ledger 지갑을 손상시켜 약 1,000만 달러의 자금을 훔친 것으로 알려졌습니다.

2019년 3월 29일 빗썸을 도난당했습니다. 해커가 빗썸 소유의 g4ydomrxhege 계정의 프라이빗 키를 훔쳐 발생한 사건으로 추정된다.
해커들은 즉시 훔친 자금을 Huobi, HitBTC, WB, EXmo 등 다양한 거래소에 배포했습니다. 비공식 데이터 및 사용자 추산에 따르면 빗썸은 300만 개 이상의 EOS 코인(약 1300만 달러), 2000만 XRP 코인(약 600만 달러) 이상의 손실을 입었다.
디지털 화폐의 익명성과 탈중앙화로 인해 도난당한 자산을 어느 정도 회수하기 어렵다. 따라서 지갑의 보안이 가장 중요합니다.
2020년 8월 9일, CertiK의 보안 엔지니어는 DEF CON Blockchain Security Conference에서 다음 주제에 대해 연설했습니다.Exploit Insecure Crypto Wallet (암호화된 지갑 취약점 활용 및 분석)기조 보고서는 암호화된 지갑의 보안에 대한 통찰력을 공유했습니다.
암호 지갑은 사용자가 자신의 계정을 관리하고 거래 프로세스를 단순화하는 데 도움이 되는 응용 프로그램입니다.
일부 블록체인 프로젝트는 CertiK Chain용 Deepwallet과 같이 체인 개발을 지원하기 위해 암호화된 지갑 애플리케이션을 출시합니다.
또한 다양한 블록체인 프로토콜을 지원하는 지갑을 구축하는 Shapeshift와 같은 회사가 있습니다.
보안의 관점에서 암호화된 지갑의 가장 중요한 문제는 공격자가 사용자 지갑의 니모닉 단어 및 개인 키와 같은 정보를 훔치는 것을 방지하는 것입니다.

보조 제목

Crypto Wallet 기본 감사 체크리스트

애플리케이션을 평가하려면 먼저 작동 원리를 이해해야 합니다→코드 구현이 최상의 보안 표준을 따르는지 여부→부족한 보안을 수정하고 개선하는 방법.
CertiK 기술 팀은 모든 형태의 암호화된 지갑 응용 프로그램(모바일, 웹, 확장 프로그램, 데스크톱), 특히 모바일 및 웹 지갑이 사용자 개인 키를 생성하고 저장하는 방법을 반영하는 암호화된 지갑에 대한 기본 감사 체크리스트를 생성했습니다.
  • 애플리케이션은 개인 키를 어떻게 생성합니까?
  • 응용 프로그램은 원시 정보와 개인 키를 어디에 어떻게 저장합니까?
  • 지갑이 신뢰할 수 있는 블록체인 노드에 연결되어 있습니까?
  • 애플리케이션에서 사용자가 맞춤형 블록체인 노드를 구성할 수 있습니까? 허용되는 경우 악의적인 블록체인 노드가 애플리케이션에 어떤 영향을 미칩니까?
  • 응용 프로그램이 중앙 집중식 서버에 연결됩니까? 그렇다면 클라이언트 애플리케이션이 서버로 보내는 정보는 무엇입니까?
  • 애플리케이션에서 사용자가 강력한 암호를 설정하도록 요구합니까?
  • 사용자가 중요한 정보에 액세스하거나 송금을 시도할 때 애플리케이션에 2단계 인증이 필요합니까?
  • 애플리케이션이 악용될 수 있는 취약한 타사 라이브러리를 사용합니까?
  • 소스 코드 리포지토리에서 유출된 비밀(예: API 키, AWS 자격 증명)이 있습니까?
  • 프로그램 소스 코드에 명백한 잘못된 코드 구현(암호화에 대한 오해 등)이 나타납니까?
  • 보조 제목

모바일 지갑

휴대폰과 같은 모바일 장치는 노트북보다 분실하거나 도난당할 확률이 더 높습니다.

모바일 장치에 대한 위협을 분석할 때 공격자가 사용자 장치에 직접 액세스할 수 있는 상황을 고려하는 것이 중요합니다.
평가의 일환으로 공격자가 사용자의 장치에 액세스하거나 사용자의 장치가 맬웨어에 감염된 경우 계정 및 암호 자산이 손상될 수 있는 잠재적인 문제를 식별해야 합니다.
기본 체크리스트 외에도 모바일 지갑을 평가할 때 추가할 감사 범주는 다음과 같습니다.
  • 앱에서 사용자에게 민감한 데이터의 스크린샷을 찍지 말라고 경고합니까? - Android 앱은 민감한 데이터를 표시할 때 사용자가 스크린샷을 찍지 못하게 합니까? iOS 앱은 사용자에게 민감한 데이터의 스크린샷을 찍지 말라고 경고합니까?
  • 앱이 백그라운드 스크린샷에서 민감한 정보를 유출합니까?
  • 기기가 탈옥/루팅되었는지 앱이 감지하나요?
  • 애플리케이션이 백그라운드 서버의 인증서를 잠그나요?
  • 애플리케이션이 프로그램 로그에 민감한 정보를 기록합니까?
  • 애플리케이션에 잘못 구성된 딥 링크와 의도가 포함되어 있으며 이를 악용할 수 있습니까?
  • 애플리케이션 번들이 코드를 난독화합니까?
  • 응용 프로그램이 디버깅 방지 기능을 구현합니까?
  • 애플리케이션이 애플리케이션 리패키징을 확인합니까?
  • (iOS) iOS 키체인에 저장된 데이터에 충분한 보안 속성이 있습니까?
  • 응용 프로그램이 키 체인 데이터 지속성의 영향을 받습니까?
  • 사용자가 중요한 정보를 입력하면 응용 프로그램이 사용자 정의 키보드를 비활성화합니까?
  • 보조 제목

웹 지갑

웹 애플리케이션은 완전히 분산된 지갑에 대한 인기가 점차 줄어들고 있습니다. MyCrypto는 사용자가 웹 애플리케이션의 지갑에 액세스하기 위해 키 저장소/니모닉/개인 키를 사용하는 것을 허용하지 않으며 MyEtherWallet도 마찬가지로 사용자에게 그렇게 하지 말라고 조언합니다.
다른 3개 플랫폼에서 실행되는 지갑에 비해 상대적으로 웹 애플리케이션 형태의 지갑을 피싱하기 쉽고, 공격자가 웹 서버를 손상시킬 경우 웹 페이지에 악성 JavaScript를 쉽게 주입할 수 있습니다.사용자 지갑 정보를 훔칩니다.
그러나 안전하게 구축되고 철저하게 테스트된 웹 지갑은 사용자가 암호화 자산을 관리하는 데 여전히 최선의 선택입니다.
위의 일반 기본 감사 범주 외에도 클라이언트 웹 지갑을 평가할 때 감사가 필요한 다음 범주도 나열합니다.
  • 애플리케이션이 XSS(교차 사이트 스크립팅)에 취약합니까?
  • 애플리케이션이 클릭재킹에 취약합니까?
  • 애플리케이션에 유효한 콘텐츠 보안 정책이 있습니까?
  • 응용 프로그램에 개방형 리디렉션 취약점이 있습니까?
  • 응용 프로그램이 HTML 주입에 취약합니까?

  • 요즘 웹 지갑에서 쿠키를 사용하는 경우는 드물지만 사용하는 경우 다음을 확인해야 합니다.

쿠키 속성
크로스 사이트 요청 위조(CSRF)
CORS(Cross-Origin Resource Sharing) 구성 오류
  • 앱에 기본 지갑 기능 이외의 기능이 포함되어 있습니까? 이러한 기능에 악용될 수 있는 취약점이 있습니까?
  • 보조 제목

확장 지갑

가장 유명하고 사용되는 암호화 지갑 중 하나인 Metamask는 브라우저 확장의 형태로 제공됩니다.
확장 지갑은 내부적으로 웹 애플리케이션처럼 작동합니다.
차이점은 콘텐츠 스크립트 및 백그라운드 스크립트라는 고유한 구성 요소가 포함되어 있다는 것입니다.
웹사이트는 콘텐츠 스크립트 및 배경 스크립트를 통해 이벤트 또는 메시지를 전달하여 확장 페이지와 통신합니다.
익스텐션 월렛 평가에서 가장 중요한 것 중 하나는 악성 웹사이트가 사용자의 동의 없이 익스텐션 월렛에 속한 데이터를 읽거나 쓸 수 있는지 여부를 테스트하는 것입니다.
기본 체크리스트 외에 확장 월렛을 평가할 때 확인해야 할 감사 범주는 다음과 같습니다.

  • 확장 프로그램은 어떤 권한을 요청합니까?

  • 확장 앱은 확장 지갑과 통신할 수 있는 웹사이트를 어떻게 결정합니까?

  • 확장 지갑은 웹 페이지와 어떻게 상호 작용합니까?

  • 악성 웹사이트가 확장 프로그램의 취약점을 이용하여 확장 프로그램 자체 또는 브라우저의 다른 페이지를 공격할 수 있습니까?

  • 악성 웹사이트가 사용자의 동의 없이 확장 프로그램에 속한 데이터를 읽거나 수정할 수 있습니까?

  • 확장 지갑은 클릭재킹에 취약합니까?

  • 확장 지갑(일반적으로 백그라운드 스크립트)은 메시지를 처리하기 전에 메시지의 출처를 확인합니까?

  • 보조 제목

전자 데스크톱 지갑

웹 애플리케이션용 코드를 작성한 후 해당 코드를 사용하여 Electron에서 데스크탑 애플리케이션을 빌드하는 것은 어떻습니까?

과거에 테스트한 데스크톱 지갑 중 데스크톱 지갑의 약 80%가 Electron 프레임워크를 기반으로 합니다. Electron 기반 데스크탑 애플리케이션을 테스트할 때 웹 애플리케이션에서 가능한 취약점을 찾을 뿐만 아니라 Electron 구성이 안전한지 확인하십시오.

CertiK는Electron의 데스크톱 애플리케이션 취약점분석을 클릭하면 이 문서를 방문하여 자세히 알아볼 수 있습니다.

다음은 Electron 기반 데스크톱 지갑을 평가할 때 확인해야 하는 감사 범주입니다.

  • 애플리케이션은 어떤 버전의 Electron을 사용합니까?

  • 애플리케이션이 원격 콘텐츠를 로드합니까?

  • 애플리케이션이 "nodeIntegration" 및 "enableRemoteModule"을 비활성화합니까?

  • 애플리케이션에 "contextisolation", "sandbox" 및 "webSecurity" 옵션이 활성화되어 있습니까?

  • 응용 프로그램에서 사용자가 현재 지갑 페이지에서 같은 창의 외부 페이지로 이동할 수 있습니까?

  • 애플리케이션이 효과적인 콘텐츠 보안 정책을 구현합니까?

  • 사전 로드 스크립트에 악용될 수 있는 코드가 포함되어 있습니까?

  • 애플리케이션이 사용자 입력을 위험한 기능(예: "openExternal")에 직접 전달합니까?

  • 보조 제목

서버측 취약점 체크리스트

우리가 테스트한 암호화폐 지갑 앱의 절반 이상이 중앙 집중식 서버가 없었고 블록체인 노드에 직접 연결되었습니다.

CertiK 기술 팀은 이를 공격 표면을 줄이고 사용자 개인 정보를 보호하는 방법으로 보고 있습니다.

그러나 응용 프로그램이 계정 관리 및 토큰 전송보다 더 많은 기능을 고객에게 제공하려는 경우 응용 프로그램에는 데이터베이스 및 서버 측 코드가 있는 중앙 집중식 서버가 필요할 수 있습니다.

서버 측 구성 요소에 대해 테스트할 항목은 애플리케이션 특성에 크게 의존합니다.
연구 및 고객 참여 과정에서 발견된 서버 측 취약점을 기반으로 다음과 같은 취약점 체크리스트를 작성했습니다. 물론 가능한 모든 서버 측 취약점을 다루지는 않습니다.
  • 인증 및 승인
  • KYC와 그 유효성
  • 경쟁 조건
  • 클라우드 서버 구성 오류
  • 웹 서버 구성 오류
  • 안전하지 않은 직접 개체 참조(IDOR)
  • SSRF(서버측 요청 위조)
  • 안전하지 않은 파일 업로드
  • 모든 유형의 인젝션(SQL, 명령, 템플릿) 취약점
  • 임의 파일 읽기/쓰기
  • 비즈니스 로직 오류
  • 속도 제한
  • 서비스 거부

  • 요약하다

요약하다

기술의 발전과 함께 해커가 행하는 사기 및 공격 방법은 점점 더 다양해지고 있습니다.
CertiK 보안 기술팀은 암호화된 지갑의 보안 위험을 공유함으로써 사용자가 디지털 통화 지갑의 보안 문제를 더 잘 이해하고 경계를 높일 수 있기를 바랍니다.
이 단계에서 많은 개발팀은 비즈니스보다 보안 문제에 훨씬 덜 관심을 기울이고 있으며 자체 지갑 제품에 대한 충분한 보안 보호를 제공하지 않습니다. CertiK는 암호화된 지갑의 보안 감사 범주를 공유함으로써 암호화된 지갑 프로젝트 당사자가 제품 보안 표준을 명확하게 이해하여 제품 보안 업그레이드를 촉진하고 사용자 자산의 보안을 공동으로 보호하기를 바랍니다.
디지털 화폐 공격은 컴퓨터 하드웨어, 블록체인 소프트웨어, 지갑과 같은 블록체인 서비스 소프트웨어, 스마트 계약을 포함하여 디지털 화폐 관리 및 유통 과정과 관련된 모든 응용 보안을 고려해야 하는 여러 기술 차원의 포괄적인 공격입니다.
암호화된 지갑은 잠재적인 공격 방법의 탐지 및 모니터링에 주의를 기울여 동일한 방법으로 다중 공격을 피하고 중요한 디지털 통화를 저장하기 위해 물리적으로 암호화된 오프라인 콜드 스토리지(콜드 스토리지)를 사용하여 디지털 통화 계정의 보안 보호 방법을 강화해야 합니다. . 또한 전문 보안팀을 고용하여 네트워크 수준의 테스트를 수행하고, 원격 시뮬레이션 공격을 통해 허점을 찾아내는 것이 필요합니다.

WeChat [certikchina] 검색에 오신 것을 환영합니다. CertiK의 공식 WeChat 공개 계정을 팔로우하고 공개 계정 하단의 대화 상자를 클릭하고 무료 상담 및 견적을 받으려면 메시지를 남겨주세요!

安全
投资
钱包
Odaily 공식 커뮤니티에 가입하세요
구독 그룹
https://t.me/Odaily_News
채팅 그룹
https://t.me/Odaily_CryptoPunk
공식 계정
https://twitter.com/OdailyChina
채팅 그룹
https://t.me/Odaily_CryptoPunk
검색
기사 목차
작성자 라이브러리
CertiK
CertiK이 Skynet 보고서를 발표했습니다. 미국 디지털 자산 규제가 처음으로 체계적인 프레임워크를 형성했습니다.
기사 인기 순위
일간 순위
주간 순위
칼시는 코인베이스, 로빈후드 등과 함께 예측 시장 컨소시엄을 구성하여 "카지노 이론"을 종식시키는 것을 목표로 하고 있습니다.
칼시는 코인베이스, 로빈후드 등과 함께 예측 시장 컨소시엄을 구성하여 "카지노 이론"을 종식시키는 것을 목표로 하고 있습니다.
Axe Compute(구 POAI)[NASDAQ: AGPU]가 기업 구조조정을 완료하고, 기업용 분산형 GPU 컴퓨팅 솔루션인 Aethir를 공식적으로 주류 시장에 출시했습니다.
니모닉 구문이 없는 Web3: AA × 패스키, 이것이 향후 10년의 암호화폐를 어떻게 정의할까요?
TGA 어워드 전야의 백만 달러 내기: 올해의 게임은 누가 예측했을까?
메타플래닛이 비트코인 보유를 일시 중단하는 이유는 무엇인가요?
Odaily 플래닛 데일리 앱 다운로드
일부 사람들이 먼저 Web3.0을 이해하게 하자
IOS
Android
회사 소개
연락처
채용 정보
파트너 링크
광고 협력
이용약관
개인정보 보호정책
면책 조항
미디어 키트
하이난성 모디 문화 미디어 유한책임회사
琼ICP备 2022000863号