近期，CertiK 發布了《2022 年Web3.0 行業安全報告》，在報告中我們可以看到2022 年對於整個數字資產行業來說是艱難的一年。

2022 年惡意行為者從Web3.0 協議中盜取了價值超過37 億美元的資產，這個數字比2021 年的13 億美元損失增加了189% 。

這些資產被盜的原因大部分是由於網絡釣魚攻擊中的私鑰洩露或智能合約中的漏洞，但也有相當數量的資金是被盜於數字貨幣錢包。

這些錢包事件既影響了個人用戶，如Fenbushi Capital 的Bo Shen： 4200 萬美元的數字貨幣資產被盜；也影響了大批用戶群體，如Slope 及Bitkeep 錢包事件，影響了超過9000 個用戶賬戶。

然而這些事件中的一部分原本是可以避免的——因為這些漏洞可以在錢包安全評估中被發現。

CertiK 在過去幾年中已經保障了數百個錢包應用的安全。

二級標題

一級標題

二級標題

Slope 錢包

2022 年最著名、影響最大的加密貨幣錢包安全事件源於Slope 錢包對私鑰的不當處理。

Slope 錢包是一個非託管的數字貨幣錢包，適用於iOS 和Android、Chrome 瀏覽器的擴展。

它支持多個區塊鏈，但主要活躍於Solana 區塊鏈。

2022 年8 月2 日晚，價值約410 萬美元的資產在大約四個小時的時間裡被從9231 名用戶的錢包地址中盜取。

在事件發生的前幾個小時，當根本原因不明時，用戶就已出現了恐慌，Solana 區塊鏈被黑的謠言也開始不脛而走。

在攻擊發生的幾小時後，一名推特用戶發布了一張截圖，顯示了來自Slope 移動錢包的HTTP 流量（其中包含了該用戶的助記詞）。 CertiK 發現在導入錢包賬戶時，用戶的助記詞將被發送到Slope 的Sentry 日誌服務器，任何有權訪問日誌的人都可以接管該賬戶並從該地址轉移所有資產。

該攻擊事件發生兩週後，Slope 錢包發布了“取證和事件響應報告”。

二級標題

二級標題

Profanity

Profanity 是一個基於GPU 的Vanity 地址（靚號地址）生成工具，允許用戶生成自己喜歡的Vanity 自定義外部賬戶（EOA）和智能合約地址。

Profanity 使用一個隨機的種子數來將其擴展為初始私鑰，並通過GPU 根據初始私鑰計算數百萬個帳戶，以此暴力創建滿足用戶要求的地址。

從技術上講，Profity 並不是一個錢包應用程序，但它確實有一個與幾乎所有數字貨幣錢包通用的功能：生成錢包賬戶。

這就是由風險賬戶導致了惡劣後果的完美案例。

2022 年9 月15 日，1Inch團隊發表了一篇文章《以太坊vanity 地址工具Profanity 中披露的一個漏洞》，講述Profanity 工具使用不安全的種子，該工俱生成賬戶的私鑰可以被輕易破解。此後該漏洞首次引起了人們的注意。

五天后，即9 月20 日，最大數字資產做市商之一的Wintermute的一個錢包賬戶被黑，攻擊者利用該賬戶從一個智能合約中提取了約1.625 億美元。

10 月11 日，Qanx Bridge 的部署者賬戶被黑，攻擊者利用該賬戶從Bridge 上提取$Qanx 並出售。多個攻擊者同時也在區塊鏈上積極尋找有漏洞的賬戶並竊取資金。

這類問題的根本原因在於，種子總數也許只有2 ^ 32 （40 億）。不安全的種子和可逆的暴力過程使恢復使用該工俱生成賬戶的私鑰成為可能。 CertiK 成功開發了一個概念驗證程序，並能夠恢復Wintermute 和Qanx 部署者賬戶的私鑰。

這樣的事件並非獨例。

2013 年，Android 系統的隨機數生成器中，一個類似的漏洞被發現，影響了比特幣錢包的創建。

密碼學是一個複雜的領域，因此很容易犯下損害安全的錯誤。一條金科玉律就是“don't roll your own crypto”（不要從頭開始建立一個加密函數。因為新的函數沒有經過足夠長時間的檢驗，它可能會存在諸多漏洞）。

二級標題"bip 39"二級標題

MetaMask 的iCloud 備份

4 月17 日，被3000 多萬人用來存儲和管理數字資產的主流加數字幣錢包MetaMask 警告其iOS 用戶，在Apple iCloud 中存儲錢包秘密存在潛在風險。

如助記詞這樣的錢包敏感信息在上傳到iCloud 時是加密的，但如果其所有者的Apple 賬戶被洩露，且使用了低強度的密碼，那他們的數字資產很可能會面臨風險。

這一警告是由一次代價高昂的釣魚攻擊換來的。

在這次攻擊中，推特賬號為@revive_dom 的用戶Domenic Iacovone 損失了大量的數字貨幣和非同質化token，總計價值約65 萬美金。

二級標題
二級標題

SeaFlower

一個安全研究小組發現，有一個組織SeaFlower 正在傳播合法數字貨幣錢包的惡意版本（包括Coinbase Wallet、MetaMask、TokenPocket 和imToken），會導致用戶的助記詞被通過後門竊取。這些修改過的錢包會按照預期運行，但允許攻擊者通過使用竊取的助記詞來獲取用戶的數字貨幣。

SeaFlower 向盡可能多的用戶傳播數字貨幣錢包應用程序的木馬版本是通過包括創建山寨網站和攻擊搜索引擎優化（SEO）等各類方式實現的，或是通過社交媒體渠道、論壇和通過惡意廣告推廣這些應用程序，但其主要傳播渠道是通過搜索服務。

研究人員發現，百度引擎的搜索結果尤其會受到SeaFlower 的影響，將大量流量引向惡意網站。

在iOS 設備上，攻擊者可以通過濫用配置文件繞過安全保護以對惡意應用進行side-load——這些配置文件可將開發人員和設備鏈接到授權的開發團隊，並允許設備用於測試應用程序代碼，因此攻擊者可以利用它們向設備添加惡意應用程序。

數字貨幣錢包應用的常見安全問題

• 錢包敏感信息被上傳到服務器，或在服務器端生成錢包

最關鍵的風險之一是將錢包敏感信息上傳到服務器或在服務器端生成錢包。對於非託管錢包，錢包敏感信息應存儲於用戶的設備中——即使它們是以加密的形式存在，這種高度敏感的數據仍可能會在傳輸過程中被截獲，或者被洩露給能夠訪問服務器的數據庫或日誌的人。

• 不安全的存儲

當敏感信息（如錢包密碼和其它機密）以純文本或在設備上的不安全位置存儲時，就會出現安全風險。

這種情況包括Android 上的外部存儲或iOS 上的“UserDefaults”。

當使用不安全的密鑰派生函數來生成加密密鑰時，或者當使用不安全的加密算法來保護數據時，也可能發生這種情況。

• 缺少對操作和運行環境的安全檢查

除了安全地存儲數據外，錢包應用程序還應該確保其運行的安全和底層運行環境的安全。這一類的一些常見問題包括缺乏root 和越獄檢測，無法阻止用戶對錢包敏感信息進行截圖、應用程序在後台運行時未能隱藏敏感信息，以及允許在敏感輸入字段使用自定義鍵盤。

• 擴展錢包中缺乏對惡意網站的防範

一級標題

一級標題

對錢包用戶的建議

採取預防措施以保護你的數字資產並確保錢包使用安全非常重要。數字貨幣領域充滿了黑客及欺詐者帶來的風險。

下文是一份用戶可以參考或遵循的建議清單，以減少被黑客攻擊的可能性。

① 選擇符合安全標準的錢包。一些錢包可能存在漏洞，容易受到黑客攻擊或其他安全漏洞的影響。請只使用經過安全公司安全測試、徹底檢查潛在的漏洞且認為符合安全標準的錢包。

② 從官方的iOS 商店和Google Play 商店下載應用程序有助於確保你獲取該應用程序的合法版本。

③ 保持設備更新十分重要，因為軟件更新通常包括對已發現的漏洞的安全修復。
寫在最後
寫在最後

寫在最後

新Layer 1 和Layer 2 區塊鏈正在持續發展，鑑於許多現有的錢包與這些新的區塊鏈並不兼容，市場上將會推出更多的數字貨幣錢包。

盡可能地降低錢包的安全風險需要用戶和錢包開發者共同的努力：用戶需要遵循最佳實踐並保持警惕以防止被黑客入侵；開發團隊則需要編寫安全的代碼，並對其錢包應用進行安全審計。