BTC
ETH
HTX
SOL
BNB
Xem thị trường
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
Trang chủ
Tin nhanh
Phân tích sâu
Bài viết
Tin nóng
Chuyên đề
Hoạt động
Quan điểm
Công cụ
Tải Xuống
Cài đặt
API
Theme Switch
Đăng nhập

Bitcoin vượt qua 23.000 đô la, ví của bạn có an toàn không?

CertiK
特邀专栏作者
2020-12-18 07:53
Bài viết này có khoảng 4381 từ, đọc toàn bộ bài viết mất khoảng 7 phút
Nhóm kỹ thuật của CertiK đã tiến hành đánh giá bảo mật trên nhiều ví mã hóa và lập danh sách đầy đủ các danh mục kiểm tra dựa trên các loại ví mã hóa khác nhau.
Tóm tắt AI
Mở rộng
Nhóm kỹ thuật của CertiK đã tiến hành đánh giá bảo mật trên nhiều ví mã hóa và lập danh sách đầy đủ các danh mục kiểm tra dựa trên các loại ví mã hóa khác nhau.

Trong tháng vừa qua, giá trị của Bitcoin đã tăng từ 18.000 USD lên 20.000 USD. Có một tin tức trong giới tiền tệ: trước Giáng sinh, Bitcoin chắc chắn sẽ tăng mạnh.

Đêm qua BTC lao lên mức cao 23.000 rất cạnh tranh.

Được dẫn dắt bởi sự gia tăng của Bitcoin, vòng tròn tiền tệ đã rơi vào tình trạng điên cuồng và thị trường kỹ thuật số được mã hóa trở nên nóng bỏng.Các loại tiền điện tử như Ethereum, Ripple và Litecoin cũng đang gia tăng.

Từ tối hôm qua đến hôm nay, vòng tròn tiền tệ đã dàn dựng những cảnh "hương thơm thực sự" quy mô lớn, và các nhà đầu tư nhiệt tình trên thị trường đã lần lượt bước vào "cuộc chiến".

So với cơn sốt bitcoin năm 2017, đợt tăng giá này có vẻ sẽ ổn định hơn.

Năm 2020 là một năm đặc biệt đối với tất cả mọi người, dịch bệnh bùng phát và vòng quay tiền tệ hỗn loạn. Sự xuất hiện và phát triển bùng nổ của tài chính phi tập trung DeFi đã khiến blockchain bắt đầu thu hút sự chú ý của mọi người trở lại.

Với sự ra mắt của các dự án blockchain mới, hơn 2.000 tài sản được mã hóa, ngày càng nhiều ví tiền mã hóa đã tham gia vào thị trường và ngày càng có nhiều người dùng bắt đầu tham gia vào lĩnh vực này.

tiêu đề phụ

Bitcoin đang tăng vọt, ví của bạn có còn an toàn không?

Trong những năm gần đây, các sự cố bảo mật ví kỹ thuật số thường xuyên xảy ra.

Vào ngày 19 tháng 11 năm ngoái, Ars Technica đã báo cáo rằng hai dữ liệu ví tiền điện tử đã bị rò rỉ và 2,2 triệu thông tin tài khoản đã bị đánh cắp. Nhà nghiên cứu bảo mật Troy Hunt xác nhận rằng dữ liệu bị đánh cắp đến từ tài khoản của ví tiền điện tử GateHub và nhà cung cấp bot RuneScape EpicBot.

Đây không phải là lần đầu tiên Gatehub bị vi phạm dữ liệu. Vào tháng 6 năm ngoái, tin tặc đã xâm phạm khoảng 100 ví XRP Ledger, dẫn đến việc đánh cắp gần 10 triệu đô la tiền.

Vào ngày 29 tháng 3 năm 2019, Bithumb đã bị đánh cắp. Người ta suy đoán rằng vụ việc là do tin tặc đánh cắp khóa riêng của tài khoản g4ydomrxhege do Bithumb sở hữu.
Ngay lập tức, tin tặc đã phân phối số tiền bị đánh cắp cho nhiều sàn giao dịch khác nhau, bao gồm Huobi, HitBTC, WB và EXmo. Theo dữ liệu không chính thức và ước tính của người dùng, Bithumb đã bị lỗ hơn 3 triệu đồng EOS (khoảng 13 triệu đô la Mỹ) và 20 triệu đồng XRP (khoảng 6 triệu đô la Mỹ).
Do tính ẩn danh và phân cấp của tiền kỹ thuật số, rất khó để khôi phục tài sản bị đánh cắp ở một mức độ nhất định. Do đó, tính bảo mật của ví là điều tối quan trọng.
Vào ngày 9 tháng 8 năm 2020, kỹ sư bảo mật của CertiK đã có bài phát biểu tại Hội nghị bảo mật chuỗi khối DEF CON về chủ đề:Khai thác Ví tiền điện tử không an toàn (phân tích và sử dụng lỗ hổng ví được mã hóa)Báo cáo bài phát biểu đã chia sẻ những hiểu biết sâu sắc về tính bảo mật của ví tiền mã hóa.
Ví tiền điện tử là một ứng dụng giúp người dùng quản lý tài khoản của họ và đơn giản hóa quy trình giao dịch.
Một số dự án blockchain phát hành các ứng dụng ví mã hóa để hỗ trợ sự phát triển của chuỗi - chẳng hạn như Deepwallet cho CertiK Chain.
Ngoài ra, có những công ty như Shapeshift xây dựng ví hỗ trợ các giao thức chuỗi khối khác nhau.
Từ quan điểm bảo mật, vấn đề quan trọng nhất đối với ví tiền mã hóa là ngăn chặn kẻ tấn công đánh cắp thông tin như từ ghi nhớ và khóa riêng của ví người dùng.

tiêu đề phụ

Danh sách kiểm tra cơ bản của ví tiền điện tử

Để đánh giá một ứng dụng, trước tiên bạn cần hiểu nguyên tắc hoạt động của nó → liệu việc triển khai mã có tuân theo các tiêu chuẩn bảo mật tốt nhất hay không → cách khắc phục và cải thiện tính bảo mật không đủ.
Nhóm kỹ thuật của CertiK đã tạo ra một danh sách kiểm tra kiểm toán cơ bản cho ví mã hóa, phản ánh tất cả các dạng ứng dụng ví mã hóa (di động, web, tiện ích mở rộng, máy tính để bàn), đặc biệt là cách ví di động và ví web tạo và lưu trữ khóa cá nhân của người dùng.
  • Ứng dụng tạo khóa riêng như thế nào?
  • Ứng dụng lưu trữ thông tin thô và khóa riêng như thế nào và ở đâu?
  • Ví có được kết nối với một nút blockchain đáng tin cậy không?
  • Ứng dụng có cho phép người dùng định cấu hình các nút chuỗi khối tùy chỉnh không? Nếu được phép, một nút chuỗi khối độc hại sẽ có tác động gì đối với một ứng dụng?
  • Ứng dụng có kết nối với một máy chủ tập trung không? Nếu có, ứng dụng khách gửi thông tin gì đến máy chủ?
  • Ứng dụng có yêu cầu người dùng đặt mật khẩu mạnh không?
  • Ứng dụng có yêu cầu xác thực hai yếu tố khi người dùng cố gắng truy cập thông tin nhạy cảm hoặc chuyển tiền không?
  • Ứng dụng có sử dụng các thư viện bên thứ ba dễ bị khai thác không?
  • Có bí mật nào (ví dụ: khóa API, thông tin đăng nhập AWS) bị rò rỉ trong kho mã nguồn không?
  • Có triển khai mã xấu rõ ràng nào (chẳng hạn như hiểu sai về mật mã) xuất hiện trong mã nguồn chương trình không?
  • tiêu đề phụ

Ví di động

Các thiết bị di động như điện thoại di động có nhiều khả năng bị mất hoặc bị đánh cắp hơn so với máy tính xách tay.

Khi phân tích các mối đe dọa đối với thiết bị di động, điều quan trọng là phải xem xét các tình huống trong đó kẻ tấn công có quyền truy cập trực tiếp vào thiết bị của người dùng.
Là một phần trong quá trình đánh giá của mình, chúng tôi cần tìm cách xác định các sự cố tiềm ẩn có thể dẫn đến tài khoản và tài sản mật khẩu bị xâm phạm nếu kẻ tấn công giành được quyền truy cập vào thiết bị của người dùng hoặc nếu thiết bị của người dùng bị nhiễm phần mềm độc hại.
Ngoài danh sách kiểm tra cơ bản, đây là các danh mục kiểm tra để thêm vào khi đánh giá ví di động:
  • Ứng dụng có cảnh báo người dùng không chụp ảnh màn hình dữ liệu nhạy cảm - Các ứng dụng Android có ngăn người dùng chụp ảnh màn hình khi hiển thị dữ liệu nhạy cảm không? Các ứng dụng iOS có cảnh báo người dùng không chụp ảnh màn hình dữ liệu nhạy cảm không?
  • Ứng dụng có rò rỉ thông tin nhạy cảm trong ảnh chụp màn hình nền không?
  • Ứng dụng có phát hiện xem thiết bị đã được bẻ khóa/root không?
  • Ứng dụng có khóa chứng chỉ của máy chủ nền không?
  • Ứng dụng có ghi lại thông tin nhạy cảm trong nhật ký của chương trình không?
  • Ứng dụng có chứa các liên kết sâu và ý định bị định cấu hình sai không và chúng có thể bị khai thác không?
  • Gói ứng dụng có làm xáo trộn mã không?
  • Ứng dụng có triển khai chức năng chống gỡ lỗi không?
  • Ứng dụng có kiểm tra việc đóng gói lại ứng dụng không?
  • (iOS) Dữ liệu được lưu trữ trong Chuỗi khóa iOS có đủ thuộc tính bảo mật không?
  • Ứng dụng có bị ảnh hưởng bởi tính bền bỉ của dữ liệu móc khóa không?
  • Ứng dụng có tắt bàn phím tùy chỉnh khi người dùng nhập thông tin nhạy cảm không?
  • tiêu đề phụ

ví web

Các ứng dụng web đang dần trở thành một lựa chọn ít phổ biến hơn đối với ví phi tập trung hoàn toàn. MyCrypto không cho phép người dùng sử dụng kho khóa/mnemonic/khóa riêng để truy cập ví trong ứng dụng web và MyEtherWallet cũng khuyên người dùng không nên làm như vậy.
So với các ví chạy trên ba nền tảng còn lại, việc lừa đảo ví dưới dạng ứng dụng web tương đối dễ dàng hơn, nếu kẻ tấn công xâm phạm máy chủ web, hắn có thể dễ dàng đưa JavaScript độc hại vào các trang web và đánh cắp thông tin ví của người dùng.
Tuy nhiên, ví web được xây dựng an toàn và được kiểm tra kỹ lưỡng vẫn là lựa chọn tốt nhất để người dùng quản lý tài sản tiền điện tử của họ.
Ngoài các danh mục kiểm tra cơ bản thông thường ở trên, khi chúng tôi đánh giá ví web của khách hàng, chúng tôi cũng liệt kê các danh mục sau cần được kiểm tra:
  • Ứng dụng có dễ bị tấn công bởi cross-site scripting (XSS) không?
  • Ứng dụng có dễ bị clickjacking không?
  • Ứng dụng có Chính sách bảo mật nội dung hợp lệ không?
  • Ứng dụng có lỗ hổng chuyển hướng mở không?
  • Ứng dụng có dễ bị tiêm HTML không?

  • Ngày nay, rất hiếm khi ví web sử dụng cookie, nhưng nếu có, bạn nên kiểm tra:

Thuộc tính cookie
Giả mạo yêu cầu trang web chéo (CSRF)
Cấu hình sai chia sẻ tài nguyên nguồn gốc (CORS)
  • Ứng dụng có chứa các tính năng khác ngoài chức năng ví cơ bản không? Có lỗ hổng nào trong các tính năng này có thể bị khai thác không?
  • tiêu đề phụ

ví mở rộng

Metamask, một trong những ví tiền điện tử nổi tiếng và được sử dụng nhiều nhất, có dạng tiện ích mở rộng cho trình duyệt.
Một ví tiện ích mở rộng hoạt động bên trong giống như một ứng dụng web.
Sự khác biệt là nó chứa các thành phần duy nhất được gọi là tập lệnh nội dung và tập lệnh nền.
Trang web giao tiếp với trang tiện ích mở rộng bằng cách chuyển các sự kiện hoặc thông báo qua tập lệnh nội dung và tập lệnh nền.
Một trong những điều quan trọng nhất trong quá trình đánh giá ví tiện ích mở rộng là kiểm tra xem trang web độc hại có thể đọc hoặc ghi dữ liệu thuộc về ví tiện ích mở rộng mà không có sự đồng ý của người dùng hay không.
Ngoài danh sách kiểm tra cơ bản, sau đây là các danh mục kiểm toán cần được kiểm tra khi đánh giá ví tiện ích mở rộng:

  • Tiện ích mở rộng yêu cầu những quyền gì?

  • Ứng dụng tiện ích mở rộng quyết định trang web nào được phép giao tiếp với ví tiện ích mở rộng như thế nào?

  • Ví tiện ích mở rộng tương tác với các trang web như thế nào?

  • Trang web độc hại có thể sử dụng lỗ hổng trong tiện ích mở rộng để tấn công chính tiện ích mở rộng đó hoặc các trang khác trong trình duyệt không?

  • Trang web độc hại có thể đọc hoặc sửa đổi dữ liệu thuộc về tiện ích mở rộng mà không có sự đồng ý của người dùng không?

  • Các ví tiện ích mở rộng có dễ bị clickjacking không?

  • Ví tiện ích mở rộng (thường là tập lệnh nền) có kiểm tra nguồn gốc của tin nhắn trước khi xử lý không?

  • tiêu đề phụ

Ví điện tử để bàn

Sau khi viết mã cho ứng dụng web, tại sao không sử dụng mã đó để xây dựng ứng dụng máy tính để bàn trong Electron?

Trong số các ví máy tính để bàn đã được thử nghiệm trước đây, khoảng 80% ví máy tính để bàn dựa trên khung Electron. Khi thử nghiệm một ứng dụng máy tính để bàn dựa trên Electron, không chỉ tìm kiếm các lỗ hổng có thể có trong ứng dụng web mà còn kiểm tra xem cấu hình Electron có an toàn không.

CertiK đã nhắm mục tiêuLỗ hổng ứng dụng máy tính để bàn của Electronphân tích, bạn có thể nhấp để truy cập bài viết này để tìm hiểu thêm.

Sau đây là các danh mục kiểm toán sẽ được kiểm tra khi đánh giá ví máy tính để bàn dựa trên Electron:

  • Ứng dụng sử dụng phiên bản Electron nào?

  • Ứng dụng có tải nội dung từ xa không?

  • Ứng dụng có tắt "nodeIntegration" và "enableRemoteModule" không?

  • Ứng dụng có bật các tùy chọn "cách ly bối cảnh", "hộp cát" và "bảo mật web" không?

  • Ứng dụng có cho phép người dùng chuyển từ trang ví hiện tại sang bất kỳ trang bên ngoài nào trong cùng một cửa sổ không?

  • Ứng dụng có triển khai Chính sách bảo mật nội dung hiệu quả không?

  • Tập lệnh tải trước có chứa mã có thể bị lạm dụng không?

  • Ứng dụng có chuyển trực tiếp đầu vào của người dùng vào các chức năng nguy hiểm (chẳng hạn như "openExternal") không?

  • tiêu đề phụ

Danh sách kiểm tra lỗ hổng phía máy chủ

Hơn một nửa số ứng dụng ví tiền điện tử mà chúng tôi đã thử nghiệm không có máy chủ tập trung, chúng được kết nối trực tiếp với các nút chuỗi khối.

Nhóm kỹ thuật của CertiK coi đây là một cách để giảm bề mặt tấn công và bảo vệ quyền riêng tư của người dùng.

Tuy nhiên, nếu ứng dụng muốn cung cấp cho khách hàng nhiều chức năng hơn là quản lý tài khoản và chuyển mã thông báo, thì ứng dụng có thể yêu cầu một máy chủ tập trung với cơ sở dữ liệu và mã phía máy chủ.

Các mục để kiểm tra các thành phần phía máy chủ phụ thuộc nhiều vào các đặc điểm của ứng dụng.
Dựa trên các lỗ hổng phía máy chủ được phát hiện trong quá trình nghiên cứu và tương tác với khách hàng, chúng tôi đã biên soạn danh sách kiểm tra lỗ hổng sau. Tất nhiên, nó không bao gồm tất cả các lỗ hổng có thể có phía máy chủ.
  • Xác thực và ủy quyền
  • KYC và hiệu lực của nó
  • điều kiện của cuộc đua
  • Lỗi cấu hình máy chủ đám mây
  • Máy chủ web cấu hình sai
  • Tham chiếu đối tượng trực tiếp không an toàn (IDOR)
  • Giả mạo yêu cầu phía máy chủ (SSRF)
  • Tải lên tệp không an toàn
  • Bất kỳ loại lỗ hổng tiêm chích nào (SQL, lệnh, mẫu)
  • Đọc/ghi tệp tùy ý
  • lỗi logic kinh doanh
  • giới hạn tỷ lệ
  • từ chối dịch vụ

  • tóm tắt

tóm tắt

Với sự phát triển của công nghệ, các phương pháp lừa đảo và tấn công được thực hiện bởi tin tặc ngày càng trở nên đa dạng hơn.
Nhóm công nghệ bảo mật CertiK hy vọng rằng bằng cách chia sẻ các rủi ro bảo mật của ví tiền mã hóa, người dùng có thể hiểu và hiểu rõ hơn về các vấn đề bảo mật của ví tiền kỹ thuật số và tăng cường cảnh giác.
Ở giai đoạn này, nhiều nhóm phát triển ít chú ý đến các vấn đề bảo mật hơn là kinh doanh và không cung cấp đủ biện pháp bảo vệ an ninh cho các sản phẩm ví của riêng họ. Bằng cách chia sẻ các danh mục kiểm toán bảo mật của ví tiền mã hóa, CertiK mong muốn các bên tham gia dự án ví tiền mã hóa hiểu rõ về các tiêu chuẩn bảo mật sản phẩm, từ đó thúc đẩy nâng cấp bảo mật sản phẩm và cùng nhau bảo vệ tính bảo mật của tài sản người dùng.
Tấn công tiền kỹ thuật số là một cuộc tấn công toàn diện về nhiều khía cạnh kỹ thuật, cần xem xét tất cả các ứng dụng bảo mật liên quan đến quá trình quản lý và lưu thông tiền kỹ thuật số, bao gồm phần cứng máy tính, phần mềm chuỗi khối, phần mềm dịch vụ chuỗi khối như ví và hợp đồng thông minh.
Ví mã hóa cần chú ý phát hiện và giám sát các phương thức tấn công tiềm ẩn để tránh nhiều cuộc tấn công bằng cùng một phương thức, đồng thời tăng cường các phương thức bảo vệ an ninh tài khoản tiền kỹ thuật số, đồng thời sử dụng kho lạnh ngoại tuyến được mã hóa vật lý (kho lạnh) để lưu các kỹ thuật số quan trọng. tiền tệ. Ngoài ra, cần phải thuê một nhóm bảo mật chuyên nghiệp để tiến hành kiểm tra cấp độ mạng và tìm ra sơ hở thông qua các cuộc tấn công mô phỏng từ xa.

Chào mừng bạn đến tìm kiếm WeChat [certikchina] và theo dõi tài khoản công khai WeChat chính thức của CertiK, nhấp vào hộp thoại ở cuối tài khoản công khai, để lại tin nhắn để nhận tư vấn và báo giá miễn phí!

安全
投资
钱包
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tìm kiếm
Mục lục bài viết
Thư viện tác giả
CertiK
CertiK công bố báo cáo Skynet: Quy định về tài sản kỹ thuật số của Hoa Kỳ lần đầu tiên hình thành khuôn khổ có hệ thống.
Bảng xếp hạng bài viết nóng
Daily
Weekly
Kalshi đã tập hợp một liên minh thị trường dự đoán với Coinbase, Robinhood và những công ty khác, nhằm mục đích chấm dứt "lý thuyết sòng bạc".
Kalshi đã tập hợp một liên minh thị trường dự đoán với Coinbase, Robinhood và những công ty khác, nhằm mục đích chấm dứt "lý thuyết sòng bạc".
Axe Compute [NASDAQ: AGPU] hoàn tất tái cấu trúc doanh nghiệp (trước đây là POAI), và Aethir, một nền tảng điện toán GPU phi tập trung cấp doanh nghiệp, chính thức gia nhập thị trường chính thống.
Web3 không cần cụm từ ghi nhớ: AA × Passkey, liệu nó sẽ định hình thập kỷ tiếp theo của Crypto như thế nào?
Vụ cá cược triệu đô vào đêm trước lễ trao giải TGA: Ai đã dự đoán đúng trò chơi của năm?
Metaplanet có ý định gì khi tạm ngừng nắm giữ Bitcoin?
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android
Về chúng tôi
Liên hệ với chúng tôi
Tham gia với chúng tôi
Liên kết hữu nghị
Hợp tác quảng cáo
Thỏa thuận người dùng
Chính sách bảo mật
Tuyên bố miễn trừ trách nhiệm
Bộ Tài Liệu Truyền Thông
Công ty TNHH Truyền thông Văn hóa Modi tỉnh Hải Nam
琼ICP备 2022000863号