慢霧 | 錢包安全審計服務全面增加插件錢包安全審計項_區塊鏈:以太坊價格今日行情美元實時

近年來，加密錢包安全事件頻發。

根據慢霧MistTrack所接觸的受害者信息收集整理，錢包被盜的事件占比高達60%，顯而易見錢包是最有利可圖的目標，因此，錢包的安全性至關重要，當然，對錢包進行安全審計更是重中之重。

作為在區塊鏈耕耘已久的一員，慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包，如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性，慢霧科技在已有審計項的基礎上進行擴展，新增了對擴展/插件錢包的審計。

下面讓我們以問答形式來一睹為快！

插件錢包與常說的“錢包”有什么不同？

?

插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。

以太坊客戶端Prysm已通過慢霧安全審計：發現2個低風險和1個建議漏洞:金色財經報道，慢霧(SlowMist)宣布已正式完成了對以太坊共識層客戶端 Prysm 的安全審計服務，發現了2個低風險和1個建議漏洞，目前問題已得到解決，并由審計人員再次審查并通過。Prysm是當前用戶規模最大的以太坊客戶端，目前有超過 42% 的驗證節點都在使用 Prysm 驗證交易，由以太坊核心開發團隊 Prysmatic Labs 開發。[2023/2/23 12:23:48]

插件錢包管理的助記詞/私鑰是與DApp相互隔離的，理論上第三方組件(如：DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊，所以安全性有一定的保證。

插件錢包配置簡單，使用更方便，在官方渠道下載安裝后勾選開啟插件，使用時點擊圖標就可進入錢包，并且使用錢包管理助記詞/私鑰。

慢霧：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息，2022年01月18日，一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性，且未考慮并非所有underlying代幣都有實現permit函數，導致用戶資產被未授權轉出。慢霧安全團隊建議：應對用戶傳入的參數是否符合預期進行檢查，且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]

插件錢包的助記詞/私鑰的管理操作更方便和安全，僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬，簽名一筆交易，或者管理助記詞/私鑰。

慢霧科技合伙人啟富：區塊鏈技術驅動的數字貨幣有很強的共識 未來應用場景很大:金色財經現場報道，9月20日，由金色財經主辦，水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。在主題為《區塊鏈如何推動數字經濟時代的發展》的圓桌對話環節，慢霧科技合伙人啟富表示，區塊鏈技術從誕生起就有財富再分配的功能。大家對區塊鏈的認知可能比較多在早期，大家對超主權或者非主權的貨幣的共識，使大家認為加密貨幣有很多使用場景。雖然目前加密貨幣的應用場景還不是很多，但是整個趨勢是非常明顯的，未來它會有更好的發展空間，尤其在泡沫或者通貨膨脹的時候有很好的優勢。[2020/9/20]

慢霧在插件錢包安全方面有什么研究？

?

慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成，助記詞/私鑰的存儲，助記詞/私鑰的使用，助記詞/私鑰的備份，助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究，并梳理插件錢包安全的最佳實踐，并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”，慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊，但以太坊上智能合約不受影響，因為以太坊網絡Gas值尚在正常范圍內。目前，Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證，用戶需等待5秒才能訪問網站。據悉，5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

如：

1.某些場景下可通過DApp頁面獲取助記詞/私鑰；

2.某些場景下可通過跨域方式獲取助記詞/私鑰；

3.某些場景下可在錢包鎖定后獲取助記詞/私鑰；

4.某些場景下可構造簽名數據進行假充值/假轉賬。

(攻擊面很多，歡迎來撩:-))

慢霧對插件錢包的整體安全審計是什么樣的？

?

慢霧安全團隊對錢包的審計涵蓋滲透測試內容，且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案，還會提出建議執行的安全增強點或最佳安全實踐，以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據，并根據項目方需求出具專業的安全審計報告。具體可參考：

https://www.slowmist.com/service-wallet-security-audit.html

當慢霧在審計插件錢包時，慢霧在審什么？

?

對于任何一款錢包來說，賬戶安全/私鑰安全都是極為重要的。因此，我們在對擴展/插件錢包進行審計時，仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖：

插件錢包安全審計主要使用哪些測試方式？

?

我們主要采用“黑盒與灰盒結合為主，白盒為輔”的方式。

黑盒測試：站在外部從攻擊者角度進行安全測試。

灰盒測試：通過腳本工具對代碼模塊進行安全測試，觀察內部運行狀態，挖掘弱點。

白盒測試：基于項目的源代碼，進行脆弱性分析和漏洞挖掘。

如何理解漏洞等級？

?

嚴重漏洞：會對項目的安全造成重大影響。

高危漏洞：會影響項目的正常運行。

中危漏洞：會影響項目的運行。

低危漏洞：可能在特定場景中會影響項目的業務操作。

弱點：理論上存在安全隱患，但工程上極難復現。

增強建議：編碼或架構存在更好的實踐方法。

對插件錢包有什么展望？

?

隨著區塊鏈產業的多鏈多元化發展，插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包，例如：波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展，還是很可觀的，非常值得關注。

有什么想對大家說的？

?

加密錢包審計重點在于解決常見的安全漏洞，規避可能出現的安全風險。作為用戶，希望能增強安全意識，不要隨意泄露助記詞/私鑰。作為項目方，對于安全問題的重視程度遠遠不夠，希望加密錢包項目方對于安全標準能有更好的認識，與我們一起共同保護用戶資產的安全。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10227688.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

比爾·蓋茨再談ChatGPT：將改變我們的世界！

Tags：區塊鏈以太坊PRYFOMO區塊鏈可以看作是以太坊價格今日行情美元實時PRY幣FOMOETH

比特幣價格實時行情