2月24日电 加密数字货币资产的安全性完全建立在加密数字钱包私钥本身的安全性上,私钥是唯一的数字资产凭证。因为私钥一旦创建就不能修改,没法重置,只要私钥不丢失,资产就不会丢失。因此整个加密数字资产的安全性话题都是围绕私钥的存储和使用来进行的。对于目前移动端钱包所使用的轻钱包模式来说,用户终端私钥存储的安全性是非常核心和关键的问题,如果设计不当则有可能会导致私钥的流失、资产的被盗。
基于猎豹移动发布的《2018全球加密数字货币钱包安全白皮书》内容,我们首先对市面上的数字钱包产品在私钥存储问题上进行了安全分析,发现Bitcoin Wallet 和Jaxx Blockchain Wallet 两款产品在私钥存储中存在巨大的安全漏洞。
Bitcoin Wallet 是一款非常著名的比特币的钱包,用户安装量超过了50万用户,而且有着良好的口碑。但是在分析的时候发现,Bitcoin Wallet助记词是以明文的方式存放在系统的/data/data/com.bitcoin.mwallet /files/profile 文件里面的。
也就是说Bitcoin Wallet已经完全将资产的安全性交给了系统来保护,但是我们知道系统本身是非常复杂的,而且充满了各种安全漏洞,只要利用一个漏洞就可以瞬间获取到Bitcoin Wallet钱包的助记词和私钥。例如:只要你的手机里面有任何APP利用漏洞拿到了系统的ROOT权限,那么这个APP就可以瞬间拿到钱包的助记词,导致数字资产可以随时被盗取,而上述动作是完全可以在后台发生的,用户完全不知道;更可怕的是,即使没有应用有ROOT权限,只需将手机的充电端口连接到黑客控制的充电设备也可以在几分钟时间内拿到钱包的助记词,导致数字资产可以随时被盗取。
根据猎豹移动提供的白皮书,存储在用户设备里面的私钥/助记词是必须使用安全的加密方法进行加密的,Bitcoin Wallet 作为一款知名的数字钱包,因为未能正确的加密存储用户设备里面的钱包的私钥/助记词,已经让超过50万的用户面临极大的安全风险。
Jaxx是另一个着名的移动加密货币钱包,具有大量功能,包括支持多种货币类型,以及最近添加的数字货币兑换平台,允许用户在钱包内兑换比特币,以太币和ERC20代币。
在检查Jaxx的数据备份机制时,我们发现了重大的安全漏洞,比Bitcoin Wallet更严重。 事实上,存储在Jaxx中的私钥可以被黑客窃取,只需很少的努力。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024