360发布白皮书:8成数字货币钱包存安全隐患

中国青年网北京5月26日电5月25日,在中国计算机学会主办的青年精英论坛上,中国最大互联网安全公司360集团信息安全部发布数字货币钱包安全白皮书。白皮书称,目前,市场上最为主流的近20多款钱包八成存在安全隐患,加强对“钱包”的安全审计刻不容缓。

白皮书称,安全人员对市场上主流的近20款数字货币通用钱包APP、发币公司官方钱包APP进行模拟攻击,攻击涉及使用钱包应用、货币交易、软件防护从货币出生到交易完成的全流程。存在安全隐患的数字货币钱包超过8成,其中21%操作存在被截屏、录屏记录;26%未检测到系统运行环境;9%存在钱包APP伪造漏洞;6%交易密码未检测弱口令;38%核心代码未加固等。

动态 | 数据:新年首日比特币链上转账金额骤降,交易手续费位于近360日最低点:据Tokenview链上数据监测,近24小时比特币链上转账总额为42.99万BTC,链上转账笔数为25.1万笔,新增和活跃地址数较七日均值分别下降20.28%和15.33%,比特币在新年首日的链上交易活动较日常有明显下降,交易所出入金指标亦位于七日均线以下。

在挖矿数据方面,比特币近七日算力均值为100.87 EH/s,近24小时算力均值为112.13 EH/s。昨日全网区块总数为174个,较前日增加29个,链上转账手续费总和为9.97 BTC,单日链上交易手续费为近360日以来最低点。[2020/1/2]

图:数字货币钱包各种安全风险

动态 | 360安全大脑:国家级黑客组织APT-C-26将多家数字货币交易视为攻击目标:3月24日凌晨,新加坡数字货币交易平台DragonEx遭受黑客入侵,共20余种主流数字货币资产均被盗取,初步估计受损资产总额超4000万人民币。 某安全实验室与DrangonEx取得联系,一起分析并确认DrangonEx交易所遭受了黑客组织攻击。经过360安全大脑的深度追踪溯源,发现这是一起由国家级黑客组织APT-C-26(Lazarus音译”拉撒路”)针对多家数字货币交易所发起的攻击行动。据悉,这是DragonEx交易所自成立以来发生的第一起被盗事件,也是继Cryptopia、Etbox等交易所后,又一起交易所被盗事件。[2019/3/29]

安全人员在无root权限下的截屏、录屏可以得到助记词,交易密码等信息;利用Janus签名问题对APP进行伪造;将软件植入恶意代码,可以修改转账人地址等操作。这些都会直接威胁用户数字货币安全。

360安全团队发现某种以太坊ERC-20智能合约存在漏洞,随时可能受到黑客攻击:昨晚360安全团队发现某种以太坊ERC-20智能合约存在漏洞,随时可能受到黑客攻击。在发现漏洞不久,360安全团队通过自研的监控平台发现有人欲通过智能合约的批量转账方式无限生成代币,经过与相关方的及时沟通现漏洞已修复,也提醒投资人投资有风险,应对投资标的保持清醒认知。360作为全球最大互联网安全企业,致力于提供区块链相关安全解决方案,为区块链行业客户及互联网用户提供安全保障。[2018/5/19]

白皮书介绍,根据使用时的联网状态不同,数字货币钱包分为“热钱包”和“冷钱包”。总体上来说,“热钱包”漏洞多于“冷钱包”,攻击面更多,更需要用户和发币方加强保护。

360集团信息安全部负责人高雪峰表示,区块链兴起后,数字货币钱包产生太快,相应安全标准严重滞后,大部分钱包开发团队以业务优先原则,对安全性未做足够的防护。黑客一旦瞄准“钱包”,找到漏洞,就会将账户货币洗劫一空,且由于数字货币匿名、不可追踪等特性,被盗后难以追回。

白皮书也给出了数字货币钱包的安全解决方案。方案包括对运行环境、协议交互、数据存储、功能设计、域名DNS等近50个项目进行安全审计检测,可实现对“钱包”的全方位保护。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:0ms0-0:597ms