TMT观察网_独特视角观察TMT行业

“21%的操作存在截屏、錄屏記錄；26%未檢測(cè)到系統(tǒng)運(yùn)行環(huán)境；9%存在錢包APP偽造漏洞；6%交易密碼未檢測(cè)弱口令；38%核心代碼未加固。”這些數(shù)字來(lái)自360集團(tuán)信息安全部近日發(fā)布的一份《數(shù)字貨幣錢包安全白皮書》（以下簡(jiǎn)稱“《白皮書》”）。

隨著區(qū)塊鏈的火熱，數(shù)字貨幣也逐漸為投資者所熟知，但安全問(wèn)題也隨之而來(lái)。早在2014年，當(dāng)時(shí)世界上最大的比特幣交易所運(yùn)營(yíng)商Mt.Gox就被黑客竊取了85萬(wàn)個(gè)比特幣，占當(dāng)時(shí)全球比特幣總數(shù)的7%；2017年11月份，以太坊錢包Parity被曝漏洞，導(dǎo)致價(jià)值2.8億美元的93萬(wàn)個(gè)以太幣被凍結(jié)；2018年1月份，日本數(shù)字貨幣交易所CoinCheck錢包被黑，價(jià)值5.3億美元的新經(jīng)幣被竊。

所謂數(shù)字貨幣錢包，其實(shí)是管理諸如比特幣等基于區(qū)塊鏈技術(shù)的數(shù)字貨幣的應(yīng)用。它一般提供錢包地址的創(chuàng)建、轉(zhuǎn)賬、交易查詢等功能。數(shù)字貨幣錢包的“百花齊放”，對(duì)應(yīng)的正是區(qū)塊鏈技術(shù)在數(shù)字虛擬貨幣上的廣泛應(yīng)用。在我國(guó)，2017年區(qū)塊鏈相關(guān)項(xiàng)目融資總額超過(guò)12.7億元，融資事件54起，而僅在2018年第一個(gè)月，區(qū)塊鏈行業(yè)融資額就達(dá)到6.8億元，融資事件19起。

數(shù)字貨幣錢包的安全性從何而來(lái)？來(lái)自市場(chǎng)研究機(jī)構(gòu)獵豹全球智庫(kù)的一份研究報(bào)告顯示：每個(gè)錢包地址都對(duì)應(yīng)一個(gè)密鑰對(duì)——私鑰和公鑰。公鑰是根據(jù)私鑰進(jìn)行一定的數(shù)學(xué)運(yùn)算生成，與私鑰一一對(duì)應(yīng)。公鑰主要是對(duì)外交易使用，私鑰則是數(shù)字貨幣錢包中唯一能夠證明對(duì)數(shù)字資產(chǎn)有控制權(quán)的憑證，因此它的生成和存儲(chǔ)方式?jīng)Q定了資產(chǎn)安全與否。助記詞是明文私鑰的另一種表現(xiàn)形式，因此能否安全地管理助記詞也是區(qū)別錢包是否安全的重要條件。

正因如此，針對(duì)私鑰和助記詞的攻擊也成為數(shù)字貨幣錢包最重要的安全隱患之一?！栋灼方榻B，根據(jù)使用時(shí)的聯(lián)網(wǎng)狀態(tài)不同，數(shù)字貨幣錢包分為“熱錢包”和“冷錢包”。由于業(yè)務(wù)場(chǎng)景的快速迭代以及推廣需求，兩種錢包都存在不少安全隱患，但總體上來(lái)說(shuō)，“熱錢包”漏洞多于“冷錢包”，可被攻擊的環(huán)節(jié)更多。360集團(tuán)信息安全部負(fù)責(zé)人高雪峰表示：“拿‘熱錢包’來(lái)說(shuō)，如果新用戶在創(chuàng)建助記詞時(shí)，錢包沒(méi)有進(jìn)行截屏、錄屏等操作的監(jiān)測(cè)，就有可能造成助記詞泄露，如果私鑰生成過(guò)程的相關(guān)算法被逆向分析，那黑客就能得到私鑰?！贝送?，數(shù)字貨幣錢包也同樣面臨著包括植入惡意代碼、輸入監(jiān)聽、轉(zhuǎn)賬地址篡改等常見網(wǎng)絡(luò)攻擊。

數(shù)字貨幣錢包為何會(huì)有如此多的安全隱患，對(duì)它的攻擊又為何能頻頻得手？高雪峰認(rèn)為，區(qū)塊鏈興起后，數(shù)字貨幣錢包的安全標(biāo)準(zhǔn)嚴(yán)重滯后，大部分錢包開發(fā)團(tuán)隊(duì)以業(yè)務(wù)優(yōu)先為原則，對(duì)安全性未做足夠的防護(hù)。黑客一旦瞄準(zhǔn)錢包，找到漏洞，就會(huì)將賬戶貨幣洗劫一空，而且由于數(shù)字貨幣匿名、不可追蹤等特性，被盜后難以追回。

目前，數(shù)字貨幣錢包的安全主要靠平臺(tái)方加強(qiáng)安全審核。《白皮書》建議，數(shù)字貨幣錢包服務(wù)商要進(jìn)行包括域名系統(tǒng)安全檢測(cè)、主機(jī)實(shí)例安全檢測(cè)、服務(wù)端應(yīng)用安全檢測(cè)等一系列審核，同時(shí)還要監(jiān)控私鑰、助記詞、交易過(guò)程、數(shù)據(jù)存儲(chǔ)的安全。而對(duì)于普通用戶來(lái)說(shuō)，能進(jìn)行的安全防范則相當(dāng)有限。

獵豹全球智庫(kù)高級(jí)分析師劉鵬表示，對(duì)于普通用戶來(lái)說(shuō)，如果正在使用的加密數(shù)字貨幣錢包存在安全漏洞，應(yīng)在開發(fā)商完成漏洞修補(bǔ)升級(jí)版本之前換用其他安全的加密數(shù)字貨幣錢包，并重新創(chuàng)建一個(gè)全新的錢包地址，通過(guò)轉(zhuǎn)賬的方式將舊地址的資產(chǎn)轉(zhuǎn)移到新地址，最后將舊地址作廢。