[区块链]钱包安全大事件|数字货币的安全隐患

在过去的这几年，加密钱包安全事件频发。区块链项目的飞速发展，两千余种数字资产，各式各样的加密钱包开始涌入大家的视野，但是任何事物都有双面性，技术不断正向发展的同时，黑客们实施的欺诈和攻击手段也越来越多样化。当加密领域拥有的资产越来越庞大，来自于安全隐患方面的危机也显露无遗。

据了解，区块链安全大事件种，钱包被盗的事件占比高达 60%，显而易见钱包是最有利可图的目标，它的安全性至关重要，所以对钱包进行安全审计更是重中之重。

去年 11 月 19 日，Ars Technica 报道称两个加密货币钱包数据遭泄露，220 万账户信息被盗。安全研究员 Troy Hunt 证实，被盗数据来自加密货币钱包 GateHub 和 RuneScape 机器人提供商 EpicBot 的账户。

这已经不是 Gatehub 第一次遭遇数据泄露了。据报道，去年 6 月，黑客入侵了大约 100 个 XRP Ledger 钱包，导致近 1000 万美元的资金被盗。

2019 年 3 月 29 日，Bithumb 失窃事件闹得沸沸扬扬。据猜测，这次事件起因为 Bithumb 拥有的 g4ydomrxhege 帐户的私钥被黑客盗取。

随即，黑客将窃取的资金分散到各个交易所，包括火币，HitBTC，WB 和 EXmo。根据非官方数据和用户估计，Bithumb 遭受的损失高达 300 万个 EOS 币（约 1300 万美元）和 2000 万个 XRP 币（约 600 万美元）以上。

目前来讲，有很大一部分的开发团队对于安全的问题重视程度远远低于对于业务的重视程度。其实不管站在哪个角度看，通过分享加密钱包的安全审计类目，都应该对于产品的安全标准拥有清晰的认知，只有这样才能够促进产品安全升级，共同保护用户资产的安全性。

数字货币攻击是多技术维度的综合攻击，需要考虑到在数字货币管理流通过程中所有涉及到的应用安全，包括电脑硬件、区块链软件，钱包等区块链服务软件，智能合约等。

加密钱包需要重视对于潜在攻击方式的检测和监视，避免多次受到同一方式的攻击，并且加强数字货币账户安全保护方法，使用物理加密的离线冷存储（cold storage）来保存重要数字货币。除此之外，需要聘请专业的安全团队进行网络层面的测试，并通过远程模拟攻击来寻找漏洞。

那么回到插件钱包本身，插件钱包与常说的“钱包”有什么不同？插件钱包是指基于浏览器 (主要是 Google Chrome) 开发的钱包。
插件钱包管理的私钥是与 DApp 相互隔离的，理论上第三方组件 很难通过技术手段突破隔离对插件钱包进行攻击，所以安全性有一定的保证。

对于任何一款钱包来说，账户安全都是极为重要的。因此，我们在对插件钱包进行审计时，仍然将重点放在私钥这一部分。主要采用 “黑盒与灰盒结合为主，白盒为辅” 的方式。

“黑盒测试：站在外部从攻击者角度进行安全测试。

灰盒测试：通过脚本工具对代码模块进行安全测试，观察内部运行状态，挖掘弱点。

白盒测试：基于项目的源代码，进行脆弱性分析和漏洞挖掘。”

由于数字货币的匿名性及去中心化，导致被盗资产在一定程度上难以追回。因此，钱包的安全性至关重要。随着区块链产业的多链多元化发展，插件钱包似乎也开辟了一条新赛道。目前对于插件钱包的发展，还是很可观的，非常值得关注。

加密钱包应用程序有一半以上是没有中心化服务器的，他们直接与区块链节点相连。这是减少攻击面和保护用户隐私的方法之一。但是，如果应用程序希望为客户提供除了帐户管理和令牌传输之外的更多功能，那么该应用程序可能需要一个带有数据库和服务器端代码的中心化服务器，服务器端组件要测试的项目高度依赖于应用程序特性。

插件钱包配置简单，使用方便。比特安安全审计团队从钱包生命周期 “私钥的生成、存储、使用、备份和销毁” 这五大过程的安全作为主要切入口进行安全研究，梳理插件钱包安全的最佳实践，并在实战过程中研究出了很有效的安全防御手段。只希望通过对加密钱包安全隐患的分享让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。加密钱包审计重点在于解决常见的安全漏洞，规避可能出现的安全风险。作为用户，希望能增强安全意识，不要随意泄露助记词/私钥。作为项目方，对于安全问题的重视程度远远不够，希望加密钱包项目方对于安全标准能有更好的认识，与我们一起共同保护用户资产的安全。