Chain:慢霧 | 錢包安全審計服務全面增加插件錢包安全審計項_穩定幣USDT行情

近年來，加密錢包安全事件頻發。

根據慢霧MistTrack所接觸的受害者信息收集整理，錢包被盜的事件占比高達60%，顯而易見錢包是最有利可圖的目標，因此，錢包的安全性至關重要，當然，對錢包進行安全審計更是重中之重。

作為在區塊鏈耕耘已久的一員，慢霧科技在區塊鏈世界獨特的安全架構方面擁有豐富且領先的實戰經驗。慢霧的相關安全服務已經覆蓋超數十家行業內頂級的錢包，如imToken、HuobiWallet、RenrenBit錢包等。為了更好地增強各類加密錢包的安全性，慢霧科技在已有審計項的基礎上進行擴展，新增了對擴展/插件錢包的審計。

下面讓我們以問答形式來一睹為快！

插件錢包與常說的“錢包”有什么不同？

?

插件錢包是指基于瀏覽器(主要是GoogleChrome)開發的錢包。

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

插件錢包管理的助記詞/私鑰是與DApp相互隔離的，理論上第三方組件(如：DApp或其他插件)很難通過技術手段突破隔離對插件錢包進行攻擊，所以安全性有一定的保證。

慢霧安全預警：Nacos出現遠程代碼執行漏洞攻擊案例，請相關方及時升級:金色財經報道，據慢霧區消息，Nacos 出現遠程代碼執行漏洞攻擊案例。Nacos 是 Alibaba 開源的一個更易于構建云原生應用的動態服務發現、配置管理和服務管理平臺，幫助用戶快速實現動態服務發現、服務配置、服務元數據及流量管理。Nacos 在處理某些基于 Jraft 的請求時，采用 Hessian 進行反序列化，但并未設置限制，導致應用存在遠程代碼執行（RCE）漏洞。其中，1.4.1 <= Nacos < 1.4.6，使用 cluster 集群模式運行受影響；1.4.0、2.0.0 <= Nacos < 2.2.3，任意模式啟動均受到影響。加密貨幣行業有大量平臺采用此方案，請注意風險，并將 Nacos 升級到官方最新新版本。[2023/6/9 21:25:29]

插件錢包配置簡單，使用更方便，在官方渠道下載安裝后勾選開啟插件，使用時點擊圖標就可進入錢包，并且使用錢包管理助記詞/私鑰。

慢霧：昨日MEV機器人攻擊者惡意構造無效區塊，建議中繼運營者及時升級:金色財經報道，慢霧分析顯示，昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確，中繼仍將有效載荷（payload）返回給提議者，導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題，惡意構造了無效的區塊，使得該區塊無法被驗證，中繼無法進行廣播（狀態碼為202）從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題，建議中繼運營者及時升級中繼。

據此前報道，昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

插件錢包的助記詞/私鑰的管理操作更方便和安全，僅需要在插件錢包中"點點點"就能輕松的發起一筆轉賬，簽名一筆交易，或者管理助記詞/私鑰。

慢霧在插件錢包安全方面有什么研究？

慢霧：Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息，慢霧監測顯示，Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產，該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移；第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產；第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI，目前有約3970萬美元的加密資產。

目前慢霧經過梳理后，無法將地址3與其他兩個地址連接起來，但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

?

慢霧安全團隊從錢包生命周期“助記詞/私鑰的生成，助記詞/私鑰的存儲，助記詞/私鑰的使用，助記詞/私鑰的備份，助記詞/私鑰的銷毀”這五大過程的安全作為主要切入口進行安全研究，并梳理插件錢包安全的最佳實踐，并在實戰過程中挖掘了不少優質的插件錢包的攻擊面。

如：

1.某些場景下可通過DApp頁面獲取助記詞/私鑰；

2.某些場景下可通過跨域方式獲取助記詞/私鑰；

3.某些場景下可在錢包鎖定后獲取助記詞/私鑰；

4.某些場景下可構造簽名數據進行假充值/假轉賬。

(攻擊面很多，歡迎來撩:-))

慢霧對插件錢包的整體安全審計是什么樣的？

?

慢霧安全團隊對錢包的審計涵蓋滲透測試內容，且比滲透測試服務更全面與精細。不僅會對目標項目進行漏洞發現提出修復方案，還會提出建議執行的安全增強點或最佳安全實踐，以杜絕未來可能出現的安全風險。安全審計將提供更全面更多維的企業安全體系落地建設依據，并根據項目方需求出具專業的安全審計報告。具體可參考：

https://www.slowmist.com/service-wallet-security-audit.html

當慢霧在審計插件錢包時，慢霧在審什么？

?

對于任何一款錢包來說，賬戶安全/私鑰安全都是極為重要的。因此，我們在對擴展/插件錢包進行審計時，仍然將重點放在助記詞/私鑰這一部分。具體可以參考下圖：

插件錢包安全審計主要使用哪些測試方式？

?

我們主要采用“黑盒與灰盒結合為主，白盒為輔”的方式。

黑盒測試：站在外部從攻擊者角度進行安全測試。

灰盒測試：通過腳本工具對代碼模塊進行安全測試，觀察內部運行狀態，挖掘弱點。

白盒測試：基于項目的源代碼，進行脆弱性分析和漏洞挖掘。

如何理解漏洞等級？

?

嚴重漏洞：會對項目的安全造成重大影響。

高危漏洞：會影響項目的正常運行。

中危漏洞：會影響項目的運行。

低危漏洞：可能在特定場景中會影響項目的業務操作。

弱點：理論上存在安全隱患，但工程上極難復現。

增強建議：編碼或架構存在更好的實踐方法。

對插件錢包有什么展望？

?

隨著區塊鏈產業的多鏈多元化發展，插件錢包似乎也開辟了一條新賽道。其實慢霧陸陸續續審計過不少知名的插件錢包，例如：波場推出的第一款插件錢包TronLink、由星火礦池推出的GasNow、適配Alaya網絡和PlatON網絡的Samurai、ICON的第一個移動錢包MyIconWallet、以及DeBank團隊于前不久推出的Rabby等等。目前對于插件錢包的發展，還是很可觀的，非常值得關注。

有什么想對大家說的？

?

加密錢包審計重點在于解決常見的安全漏洞，規避可能出現的安全風險。作為用戶，希望能增強安全意識，不要隨意泄露助記詞/私鑰。作為項目方，對于安全問題的重視程度遠遠不夠，希望加密錢包項目方對于安全標準能有更好的認識，與我們一起共同保護用戶資產的安全。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10227688.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

比爾·蓋茨再談ChatGPT：將改變我們的世界！

Tags：CHAUSDChainHAIhealthchain穩定幣USDT行情wiseblockchainNoiz Chain

pepe最新價格