金色财经记者 Jessy
12月26日,BitKeep钱包上多条链上资产被盗,12月28日BitKeep官方发布消息称,黑客劫持了 BitKeep 网站上的BitKeep App 7.2.9 APK的下载链接。通过恶意植入代码,修改后的 APK 导致用户私钥泄露,使黑客能够转移资金。
事件发生后,BitKeep表示部分被盗资金已被冻结,目前在积极努力挽回用户损失,会全额赔付用户资金,并启动报警和立案程序。
今年,钱包被盗的大额案件并不少,8月,Sonala⽣态的Slope钱包被盗,超9000千个钱包被清空,11月,分布式资本沈波的钱包被盗,大概4200万美金资产丢失。
针对BitKeep事件相关的钱包安全问题,金色财经采访了安全公司CertiK的安全工程师,他们曾在BitKeep出问题后,为其出问题的钱包版本做了一个初步分析,发现了不少被项目方忽视的安全隐患。而类似的漏洞和风险,在行业内并不少见,CertiK测试过大大小小不下100个钱包,发现类似的问题其实十分普遍。
以下是金色财经和CertiK的对话:
金色财经:BitKeep出现被盗事故后,CertiK的应急团队第一时间做了分析,具体的分析结果是?
CertiK:我们的安全工程师第一时间对出现问题的BitKeep 7.2.9 APK进行了测试,确实发现了一些安全隐患,具体的问题有:在某个服务器端API里可能存在SQL注入漏洞;缺少对Root/越狱设备检测;缺少证书绑定; 安卓助记词界面允许截屏,等等。总体来说,如果存在这些问题就会增加钱包的安全风险。如果一个钱包经过正规测渗透测试并进行修复,是几乎不会存在上面的问题。不过发现的这些安全隐患应该不是这次事件的根本原因.
具体到这次事故,黑客挟持了BitKeep网站上APK下载链接导致用户下载的7.2.9版本的APK带有恶意代码. 官方曾声称从Google Playstore渠道下载的钱包是没有问题的,但是社区里有用户说他们被盗的钱包是从官方渠道下载的. CertiK调查之后发现BitKeep安卓app有一个自动更新的功能,此功能会从BitKeep官网下载最新版APK. 由于APK官网下载链接被黑客劫持,导致从Google Playstore渠道下载的钱包也受到了影响. 现在官方并没有披露链接是如何被挟持的,外部团队也没办法进行分析,我们也呼吁BitKeep能够公布自查结果,这能够让行业自查自纠。
金色财经:一般现在行业内的这些钱包公司是会和类似咱们CertiK这样的安全公司合作去做安全测试吗?还是说他们一般是自己内部的安全工程师去做?
CertiK:最好的情况下是内部有安全工程师,并找CertiK这样的安全公司合作。内部安全工程师可以先测试一遍,再交给外部安全公司。不过现在市面上大多数小型钱包项目,或者初创钱包项目,在项目早期,不会专门请一个安全工程师,这时候就一定要找安全公司合作进行安全测试。
大家都知道智能合约要受审计,钱包也一样,没有被深度渗透测试过的钱包不推荐使用。
金色财经:行业内的情况是大多数钱包公司是否有这个安全意识呀?CertiK测试出来的BitKeep的这些问题漏洞,是不是现阶段很多钱包都存在?
CertiK:我们大概给上百个钱包做过测试,超过50% 的钱包都是存在安全隐患的,我在上面列举的我们检测出的BitKeep存在问题,在一些不成熟的,没有经过测试的钱包中也会存在,这并不是孤例。
金色财经:新的钱包技术,比如MPC钱包可以避免类似事件的发生吗?
CertiK:MPC钱包是一种特殊的数字钱包,它使用了多方技术来保护用户资产,和传统数字钱包相比,在安全方面的优势是:通过分散储存用户的私钥来保护用户的资产,即使攻击者获取了一部分分散开的私钥副本,他也没办法获取足够的信息来破解整个私钥。
这次事件中,如果是MPC钱包的用户下载或者是通过自动升级安装了了恶意版本的钱包,那黑客是可以盗走当前手机里对应的私钥的一部分,如果说用户手机里的资料足以用来恢复钱包的私钥,那也有被盗的风险,根据钱包私钥碎片的数量不同,分发不同,对用户的保护程度也不同。
金色财经:现在市面上的钱包一般存在哪些问题?
CertiK:我们这里主要谈论这次出事故的手机APP钱包。对于一个数字钱包来说,最重要的就是私钥和助记词,一但被攻击者拿到,那财产就会被转移。一个手机APP的钱包的安全问题可能会出现在以下几个环节。首先,在创建或者导入钱包的私钥时,如果说助记词和私钥离开了用户的手机,被上传到了服务器上,那在网络传输的过程中或者在服务器端储存时可能会被泄露。对于任何一个去中心化的钱包来说,助记词是不能被上传到某个中心化的服务器上的。
如果在创建助记词的过程中,手机允许用户去截屏,那这个截图也可能被恶意软件访问到,然后偷走。在助记词生成的过程中,如果使用了不够安全的随机数,攻击者也可能反推出私钥生成的过程,推算出用户的私钥。
手机钱包储存用户私钥时,还要确保储存地点安全。如果手机钱包把用户的钱包以明文的形式存在到一个SD卡中,这样绝大部分的手机软件都是可以访问这个外部储存的。如果是手机内部储存,按照道理是只有钱包软件本身可以访问。
这次事件是下载的源头被挟持,要保证源头安全,把用户下载的apK放到可靠的云服务储存中,项目方可以随时监控这个源头。或者是更干脆一点是让用户只能去官方途径下载安装包。
金色财经:事件发生之后,黑客用混币器洗钱,转币去交易所准备出手。这些洗钱的常规操作真的是没办法被控制的吗?
CertiK:没办法被很好避免,这是由区块链的特性所决定的。所以才需要监测机构,交易所等各方的共同配合,尽可能减少损失。
白话区块链|同步全球区块链资讯、区块链快讯、区块链新闻
本站所有文章数据来源:金色财经
本站不对内容真实性负责,如需转载请联系原作者
如需删除该文章,请发送本文链接至oem1012@qq.com
