近年來，隨著區塊鏈技術普及，數字貨幣也漸漸走進大眾視野，各種“錢包”如雨后春筍冒出來，但是這些錢包的安全性卻令人難以放心。

　　5月25日，在中國計算機學會主辦的青年精英論壇上，360集團信息安全部發布數字貨幣錢包安全白皮書。白皮書稱，目前，市場上最為主流的近20多款錢包八成存在安全隱患，加強對“錢包”的安全審計刻不容緩。

　　白皮書稱，安全人員對市場上主流的近20款數字貨幣通用錢包APP、發幣公司官方錢包APP進行模擬攻擊，攻擊涉及使用錢包應用、貨幣交易、軟件防護從貨幣出生到交易完成的全流程。存在安全隱患的數字貨幣錢包超過8成，其中21%操作存在被截屏、錄屏記錄﹔26%未檢測到系統運行環境﹔9%存在錢包APP偽造漏洞﹔6%交易密碼未檢測弱口令﹔38%核心代碼未加固等。

圖：數字貨幣錢包各種安全風險

　　安全人員在無root權限下的截屏、錄屏可以得到助記詞，交易密碼等信息﹔利用Janus簽名問題對APP進行偽造﹔將軟件植入惡意代碼，可以修改轉賬人地址等操作。這些都會直接威脅用戶數字貨幣安全。

　　白皮書介紹，根據使用時的聯網狀態不同，數字貨幣錢包分為“熱錢包”和“冷錢包”。總體上來說，“熱錢包”漏洞多於“冷錢包”，攻擊面更多，更需要用戶和發幣方加強保護

　　360集團信息安全部負責人高雪峰表示，區塊鏈興起后，數字貨幣錢包產生太快，相應安全標准嚴重滯后，大部分錢包開發團隊以業務優先原則，對安全性未做足夠的防護。黑客一旦瞄准“錢包”，找到漏洞，就會將賬戶貨幣洗劫一空，且由於數字貨幣匿名、不可追蹤等特性，被盜后難以追回。

　　白皮書也給出了數字貨幣錢包的安全解決方案。方案包括對運行環境、協議交互、數據存儲、功能設計、域名DNS等近50個項目進行安全審計檢測，可實現對“錢包”的全方位保護。

分享讓更多人看到