區塊鏈安全100問 | 第三篇：數字錢包面臨的安全風險_區塊鏈:APP

零時科技區塊鏈安全100問正式上線，以通俗易懂的語言形式為大家講解區塊鏈行業知識，以及區塊鏈生態應用存在的安全問題，讓更多人了解區塊鏈及區塊鏈安全。

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

1-數字錢包是什么？

區塊鏈數字錢包是存儲和管理、使用數字貨幣的工具，在區塊鏈領域有舉足輕重的地位，是用戶接觸數字貨幣的入口。

錢包在形態上，可以劃分成為軟件錢包和硬件錢包。軟件錢包就是一個APP，裝在我們的手機上，硬件錢包就是專門有一個設備來存儲這個私鑰。

深圳將加快推進央行貿易金融區塊鏈平臺建設:為扎實推進落實央行等四部門發布的《關于金融支持粵港澳大灣區建設的意見》，深圳聯合央行深圳市中心支行、深圳銀保監局、深圳證監局制定了《深圳市貫徹落實行動方案》。方案指出，進一步提升深圳金融服務創新水平。包括：加快搭建科創金融服務平臺，加強金融科技載體建設，加快推進央行貿易金融區塊鏈平臺建設，推動移動電子支付工具在深港澳互通使用等7項舉措。（上海證券報）[2020/8/7]

按照私鑰和簽名這個動作是否永遠離線來區分，可分為熱錢包和冷錢包。

根據私鑰的存儲和簽名發起方式區分，可以分為中心化錢包和去中心化錢包，基于區塊鏈的加密數字資產的使用，大多都是用去中心化錢包。

2-數字錢包面臨的安全風險有哪些？

區塊鏈數字錢包存在多種形式，面臨的安全風險也是多樣性的，主要面臨的安全風險包括但不限于如下幾方面：

美股區塊鏈概念股普遍收漲:今日美股收盤，美股區塊鏈概念股普遍收漲。柯達收漲3.94%，埃森哲收漲3.73%，Overstock.com收跌1.97%，Riot Blockchain收漲21.26%，Marathon Patent收漲28.85%，Square收漲9.57%。[2020/5/8]

1、運行環境的安全風險

加密數字貨幣錢包最核心的文件——私鑰/助記詞是存儲在終端設備上的，無論是PC端還是移動端，終端設備如果出現不安全的現象，對于私鑰/助記詞來說是有非常高的安全風險。

一個安全的數字錢包，在設計之初就應該避免因為運行環境而導致的私鑰/助記詞存在被盜可能。終端上運行環境的安全問題主要包括病軟件、操作系統漏洞和硬件漏洞等。

2、網絡傳輸的安全風險

聲音 | 中國工程院院士孫凝暉：下沉區塊鏈等技術，培養技能型人才:12月22日，中國職業技術教育學會2019年學術年會在京舉行。中國工程院院士孫凝暉在會上表示，在人人需編程的信息技術時代，傳統產業的智能化改造，需要職業技術技能人才，他希望把人工智能、區塊鏈、云計算和大數據等技能和工具下沉，培養技能型人才。（中國科技網）[2019/12/22]

網絡傳輸的安全性更多地體現在是否有良好的對抗中間人攻擊的能力上。中間人攻擊是指攻擊者與通訊的兩端分別創建獨立的聯系，并交換其所收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。

安全的數字錢包需要能夠對終端里面全部的數字證書的合法性進行掃描、對網絡傳輸過程中的代理設置進行檢查并能夠保障基礎的網絡通訊環境的安全性。

行情 | 在美上市區塊鏈中概股普遍收漲:今日美股收盤，在美上市區塊鏈中概股普遍收漲。寺庫收漲0.5%，中網載線收漲1.76%，迅雷收漲3.89%，獵豹移動收跌1.24%，蘭亭集勢收漲1.3%，優點互動漲4.65%。[2018/12/1]

在數字錢包的開發中，在網絡傳輸層面是否使用雙向校驗的方式進行通訊驗證也是衡量一個數字錢包應用安全性的重要評判標準。

3、文件存儲方式的安全風險

對于數字錢包的私鑰/助記詞，終端設備的存儲方式也是需要在安全性設計上加以注意的。私鑰/助記詞文件存放目錄的訪問權限、私鑰/助記詞存儲的形式和加密算法設計都需要通過嚴密設計。

在對多款主流數字錢包進行安全性分析時，我們發現即使是知名的數字錢包，在私鑰/助記詞的存儲上也是比較隨意的。既有明文存儲，也有加密存儲，但是解密的密鑰卻是在代碼里面固定寫死的，起不到任何的安全防御作用。

聲音 | 丹麥外交部：區塊鏈數據存儲會對個人造成長期影響:據publicfinanceinternational.org報道，丹麥外交部表示，在線移動公共服務采用區塊鏈等技術實現電子政務化后，可以幫助政府打擊欺詐和腐敗。但此類解決方案要求敏感數據與個人相關聯，這引起了對數據隱私的擔憂，由于輸入區塊鏈的數據無法刪除，因此有污點的信息可能會對個人造成長期影響。[2018/10/24]

4、應用自身的安全風險

應用自身的安全風險主要集中在應用安裝包自身的安全防御上。

應用安裝包是否具備抗篡改能力。另外，應用運行過程中的內存安全、反調試、私鑰/助記詞使用的生命周期管理、調試日志的安全性、開發流程的安全等方面也是需要去設計增強的。

5、數據備份的安全風險

如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。舉例來說，如果終端設備上允許數據備份，那么就可以利用系統的備份機制對應用的數據文件進行備份，而加密數字貨幣的私鑰/助記詞也就被備份到外部介質了，這就從另外一個方向打破了操作系統的安全邊界設計。

對于廣大用戶來說，數字錢包的安全也意味著財富的安全，所以我們在選擇數字錢包時一定要慎重對待，不可掉以輕心。

3-數字錢包該如何進行安全審計？

無論是中心化還是去中心化錢包，軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試，針對數字錢包的安全審計包括但不限于如下測試項：

1、網絡和通信安全測試

網絡節點應達到及時發現和抵抗網絡攻擊的功能；2、錢包運行環境安全

錢包能夠對操作系統進行已知重大漏洞進行檢測，虛擬機檢測，完整性檢測；數字錢包需具有第三方程序劫持檢測功能，防止第三方程序劫持錢包盜取相關用戶信息。3、錢包認證安全

錢包認證過程中必須設置錢包解鎖密碼用于解鎖錢包，防止設備丟失后錢包信息被竊取；使用錢包進行交易簽名必須設置支付密碼，防止解鎖后解密的私鑰被竊取；使用錢包日志功能必須設置日志密碼，防止錢包密碼丟失后攻擊者直接清除錢包操作日志；交易密碼需使用多因素認證，例如：指紋、面部識別、OTP令牌、短信驗證碼等，防止密碼泄露導致私鑰丟失。4、錢包交易安全

錢包發出的所有交易必須進行簽名，簽名時必須通過輸入支付密碼解密私鑰，交易簽名生成后必須清除內存中解密后的私鑰，防止內存中的私鑰被竊取而泄漏等。5、錢包日志安全

為了方便用戶進行審計錢包操作行為，防止異常操作和未授權的操作，需記錄錢包的操作日志，同時錢包日志必須通過脫敏處理，不得含有機密信息。6、節點安全審計

錢包節點應能記錄用戶的連接記錄、交易記錄，能夠保存審計記錄的過程和結果，便于管理員進行查詢；必須對節點服務器進行安全設計和安全加固。7、節點接口安全審計

接口需要對數據進行簽名，防止黑客對數據被篡改；接口訪問需要添加token認證機制，防止黑客進行重放攻擊；節點接口需要對用戶連接速率進行限制，防止黑客模擬用戶操作進行CC攻擊。8、數據存儲安全

錢包生成的私鑰必須通過加密算法加密后才能進行存儲，同時錢包的本地靜態文件不得含有明文的敏感信息。9、數據的備份與回復

錢包生成的私鑰或者助記詞，必須在確保安全的情況下進行備份處理，避免私鑰意外丟失導致資金無法找回。如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。10、靜態代碼安全審計

錢包APP必須進行正規的代碼審計，以確保錢包不會有額外功能權限用來收集用戶私鑰，保證APP本身的安全性。

區塊鏈安全100問正在持續更新，歡迎大家后臺發送自己的觀點，如有對區塊鏈行業及應用有獨到見解或者疑問的朋友直接評論區留言哦！我們會把相關問題統計整理，為大家解答哦！?

Tags：區塊鏈數字錢包數字貨幣APP區塊鏈域名開發數字錢包的ID號在哪里找企業發行數字貨幣合法嗎抹茶交易所app最新版官方版

以太坊價格今日行情