Primer lanzamiento | Lista de verificación de auditoría de seguridad de billetera encriptada: ¿Es segura su billetera?

Este artículo fue escrito por el equipo de Certik y autorizado por Jinse Finance para su publicación. En el último mes, el valor de Bitcoin aumentó de $18,000 a $20,000. Hay novedades en el círculo de las divisas: antes de Navidad, Bitcoin subirá con fuerza. Anoche, BTC se apresuró al alto nivel de 23000 de manera muy competitiva. Liderado por el auge de Bitcoin, el círculo de divisas ha caído en un frenesí, y el mercado digital encriptado está de moda.Las criptomonedas como Ethereum, Ripple y Litecoin también están en aumento. Desde ayer por la noche hasta hoy, el círculo monetario ha protagonizado escenas de "fragancia verdadera" a gran escala, y los inversores ávidos en el mercado han entrado en la "lucha" uno tras otro. En comparación con el carnaval de bitcoin de 2017, este repunte puede parecer más estable. 2020 es un año especial para todos, con el estallido de la epidemia y la agitación en el círculo monetario. El surgimiento y el auge del desarrollo de las finanzas descentralizadas DeFi ha hecho que la cadena de bloques comience a atraer nuevamente la atención de las personas. Con el lanzamiento de nuevos proyectos de blockchain, más de 2000 activos encriptados, más y más billeteras encriptadas han ingresado al mercado y más y más usuarios han comenzado a inundar este campo. Cuando los activos propiedad del campo de cifrado se vuelven cada vez más grandes, la crisis del peligro potencial para la seguridad también se revela por completo. En los últimos años, los incidentes de seguridad de la billetera digital han ocurrido con frecuencia. El 19 de noviembre del año pasado, Ars Technica informó que se filtraron dos datos de billeteras de criptomonedas y se robaron 2,2 millones de información de cuentas. El investigador de seguridad Troy Hunt confirmó que los datos robados provenían de las cuentas de la billetera de criptomonedas GateHub y del proveedor de bots RuneScape EpicBot. Esta no es la primera vez que Gatehub sufre una violación de datos. Según los informes, en junio del año pasado, los piratas informáticos comprometieron alrededor de 100 billeteras XRP Ledger, lo que resultó en el robo de casi $ 10 millones en fondos. Noticias | Lanzamiento de identidad digital educativa creíble en el distrito de Baiyun, Guangzhou Uso de blockchain y otras tecnologías: el 25 de diciembre, se llevó a cabo la ceremonia de lanzamiento y el seminario de aplicación de la aplicación piloto de la provincia de Guangdong de identidad digital educativa confiable (tarjeta educativa) en el distrito de Baiyun, Guangzhou. Según los informes, la integración de la identidad digital de Trusted Education adopta tecnologías básicas como el cifrado doméstico y la cadena de bloques, y emite de forma innovadora identidades digitales integradas en el entorno de red de "computación en la nube, computación de borde y computación móvil", realiza una gestión integrada de claves y construye " Cadena de identidad educativa de confianza". (China News Network) [2019/12/25] El 29 de marzo de 2019, robaron Bithumb. Se especula que el incidente fue causado por piratas informáticos que robaron la clave privada de la cuenta g4ydomrxhege propiedad de Bithumb. Inmediatamente, los piratas informáticos distribuyeron los fondos robados a varios intercambios, incluidos Huobi, HitBTC, WB y EXmo. Según datos no oficiales y estimaciones de usuarios, Bithumb sufrió pérdidas de hasta 3 millones de monedas EOS (alrededor de 13 millones de dólares estadounidenses) y 20 millones de monedas XRP (alrededor de 6 millones de dólares estadounidenses). Debido al anonimato y la descentralización de la moneda digital, es difícil recuperar los activos robados hasta cierto punto. Por lo tanto, la seguridad de la billetera es de suma importancia. El 9 de agosto de 2020, el ingeniero de seguridad de CertiK pronunció un discurso en la conferencia de seguridad de la cadena de bloques DEF CON con el tema: Explotar la billetera criptográfica insegura (utilización y análisis de la vulnerabilidad de la billetera encriptada) y compartió sus ideas sobre la seguridad de la billetera encriptada. Una billetera criptográfica es una aplicación que ayuda a los usuarios a administrar sus cuentas y simplificar el proceso de transacción. Algunos proyectos de blockchain lanzan aplicaciones de billetera encriptada para respaldar el desarrollo de la cadena, como Deepwallet para CertiK Chain. Primera versión | Las transferencias anteriores de 18 000 BTC fueron ordenadas internamente por el intercambio Bithumb: el sistema de monitoreo en cadena de Beijing Lianan descubrió que se produjo una transferencia de 18 000 BTC a las 17:07 del 24 de octubre, hora de Beijing. es el trabajo de acabado interno del intercambio Bithumb, que empaqueta una gran cantidad de UTXO de 100 a 200 BTC en 18 UTXO de 1000 BTC y los transfiere a su dirección interna. Por lo general, la clasificación de UTXO de varios "valores nominales" a nivel de número entero es una operación regular del intercambio. [2019/10/24] Además, hay compañías como Shapeshift que crean billeteras que admiten diferentes protocolos de blockchain. Desde el punto de vista de la seguridad, el tema más importante para las billeteras encriptadas es evitar que los atacantes roben información como palabras mnemotécnicas y claves privadas de las billeteras de los usuarios. El año pasado, el equipo técnico de CertiK probó e investigó múltiples billeteras cifradas, y aquí comparten los métodos y procedimientos para la evaluación de seguridad de diferentes tipos de billeteras cifradas basadas en software. Para evaluar una aplicación, primero debe comprender su principio de funcionamiento → si la implementación del código cumple con los mejores estándares de seguridad → cómo corregir y mejorar las deficiencias de seguridad. El equipo técnico de CertiK ha producido una lista de verificación de auditoría básica para billeteras cifradas, que refleja todas las formas de aplicaciones de billetera cifrada (móvil, web, extensión, escritorio), especialmente cómo las billeteras móviles y web generan y almacenan claves privadas de usuario. ¿Cómo genera la aplicación una clave privada? ¿Cómo y dónde almacena la aplicación información sin procesar y claves privadas? ¿La billetera está conectada a un nodo blockchain confiable? ¿La aplicación permite a los usuarios configurar nodos de blockchain personalizados? Si se permite, ¿qué impacto podría tener un nodo de cadena de bloques malicioso en una aplicación? ¿La aplicación se conecta a un servidor centralizado? En caso afirmativo, ¿qué información envía la aplicación cliente al servidor? Primer lanzamiento | DVP: Las vulnerabilidades en el intercambio de Bitstamp pueden conducir a la filtración de una gran cantidad de KYC y otra información: Golden Finance News, recientemente, DVP recibió una vulnerabilidad en el intercambio de renombre mundial Bitstamp enviada por personal de seguridad. Los atacantes pueden usar esto vulnerabilidad para ver una gran cantidad de ID de usuario, la información confidencial, como las tarjetas bancarias, representa una grave amenaza para la seguridad de la información del usuario. Para evitar el vicioso incidente de la fuga de KYC, el equipo de seguridad de DVP notificó a la plataforma que lo reparara lo antes posible después de recibir la vulnerabilidad, pero no recibió respuesta. DVP recuerda a los usuarios relevantes que presten atención a la seguridad de la información personal para evitar pérdidas. [2019/8/13] ¿La aplicación requiere que el usuario establezca una contraseña de alta seguridad? ¿La aplicación requiere autenticación de dos factores cuando un usuario intenta acceder a información confidencial o transferir dinero? ¿La aplicación utiliza bibliotecas de terceros vulnerables que pueden explotarse? ¿Hay secretos (p. ej., claves de API, credenciales de AWS) filtrados en los repositorios de código fuente? ¿Hay implementaciones de código obviamente malas (como malentendidos de criptografía) que aparecen en el código fuente del programa? ¿El servidor de aplicaciones impone conexiones TLS? Los dispositivos móviles, como los teléfonos móviles, tienen más probabilidades de perderse o ser robados que las computadoras portátiles. Al analizar amenazas contra dispositivos móviles, es importante considerar la situación en la que el atacante tiene acceso directo al dispositivo del usuario. Durante la evaluación, si un atacante obtiene acceso al dispositivo de un usuario, o si el dispositivo del usuario está infectado con malware, debemos tratar de identificar problemas potenciales que comprometan los activos de la cuenta y la contraseña. Además de la lista de verificación básica, estas son las categorías de auditoría que se deben agregar al evaluar las billeteras móviles: ¿La aplicación advierte a los usuarios que no tomen capturas de pantalla de datos confidenciales? ¿Las aplicaciones de Android impiden que los usuarios tomen capturas de pantalla cuando muestran datos confidenciales? ¿Las aplicaciones de iOS advierten a los usuarios que no tomen capturas de pantalla de datos confidenciales? ¿La aplicación filtra información confidencial en las capturas de pantalla de fondo? Anuncio | Huobi Global Estreno mundial del Proyecto PAI a las 16:00 el 29 de junio: Huobi Global lanzará el servicio de depósito del Proyecto PAI (PAI) a las 16:00 el 29 de junio, hora de Singapur. A las 16:00 horas del 2 de julio se abrirán transacciones PAI/BTC, PAI/ETH en la Zona de Innovación. El servicio de retirada de PAI se abrirá a las 16:00 horas del 6 de julio. [2018/6/29] ¿La aplicación detecta si el dispositivo tiene jailbreak/rooteado? ¿La aplicación bloquea el certificado del servidor en segundo plano? ¿La aplicación registra información sensible en el registro del programa? ¿La aplicación contiene enlaces profundos mal configurados e intents que pueden explotarse?   ¿El paquete de la aplicación ofusca el código? ¿La aplicación implementa la funcionalidad anti-depuración? ¿La aplicación comprueba si se ha vuelto a empaquetar? (iOS) ¿Los datos almacenados en el llavero de iOS tienen propiedades suficientemente seguras? ¿La aplicación se ve afectada por la persistencia de los datos del llavero? ¿La aplicación desactiva el teclado personalizado cuando el usuario ingresa información confidencial? ¿Es seguro usar la aplicación "webview" para cargar sitios web externos? Las aplicaciones web se están convirtiendo gradualmente en una opción menos popular para una billetera totalmente descentralizada. MyCrypto no permite a los usuarios utilizar el almacén de claves/mnemónico/clave privada para acceder a la billetera en la aplicación web, y MyEtherWallet también recomienda a los usuarios que no lo hagan. En comparación con las billeteras que se ejecutan en las otras tres plataformas, es relativamente más fácil realizar ataques de phishing en las billeteras en forma de aplicaciones web; si un atacante invade un servidor web, puede inyectar JavaScript malicioso en las páginas web y robar fácilmente la información de la billetera del usuario. El primer BM de IMEOS dijo que los contratos EOS tienen protección contra desbordamiento de enteros: según IMEOS, un medio cooperativo de Jinse Finance, recientemente ETH ha experimentado múltiples errores de desbordamiento de procesamiento de contratos inteligentes ERC20, y BM comentó en Twitter: El nuevo error del contrato ETH puede destruir todo Token Esta es la razón por la que el código no puede convertirse en ley y significa que el contrato EOS erc no es vulnerable a este tipo de ataque. Algunas personas en el grupo oficial de EOS también expresaron su preocupación sobre si EOS tiene protección contra desbordamiento de enteros. Respuesta de BM: hay muchas clases de plantilla de C++ que encapsulan tipos y verifican el desbordamiento. [2018/4/25] Sin embargo, una billetera web construida de forma segura y probada exhaustivamente sigue siendo la mejor opción para que los usuarios administren sus activos encriptados. Además de las categorías de auditoría básicas regulares anteriores, cuando evaluamos las billeteras web de los clientes, también enumeramos las siguientes categorías que deben auditarse: ¿La aplicación tiene vulnerabilidades XSS de secuencias de comandos entre sitios? ¿La aplicación es vulnerable al secuestro de clics? ¿La aplicación tiene una política de seguridad de contenido válida? ¿La aplicación tiene una vulnerabilidad de redirección abierta? ¿La aplicación es vulnerable a la inyección de HTML? Es raro que las billeteras web usen cookies en estos días, pero si lo hacen, debe verificar: Atributos de cookies Falsificación de solicitud entre sitios (CSRF) Intercambio de recursos de origen cruzado (CORS) Configuración incorrecta ¿La aplicación contiene algo más que la funcionalidad básica de la billetera? ¿Hay otras funciones además de estas funciones? ¿Existen vulnerabilidades que se pueden explotar en estas funciones? Vulnerabilidades no mencionadas anteriormente en el OWASP Top 10. Metamask, una de las billeteras criptográficas más famosas y utilizadas, viene en forma de extensión de navegador. Una billetera de extensión funciona internamente como una aplicación web. La diferencia es que contiene componentes únicos llamados guión de contenido y guión de fondo.   El sitio web se comunica con la página extendida pasando eventos o mensajes a través de un guión de contenido y un guión de fondo. Una de las cosas más importantes durante la evaluación de una billetera de extensión es probar si un sitio web malicioso puede leer o escribir datos pertenecientes a la billetera de extensión sin el consentimiento del usuario. Además de la lista de verificación básica, las siguientes son las categorías de auditoría que se deben verificar al evaluar las billeteras de extensión: ¿Qué permisos requiere la extensión? ¿Cómo decide la aplicación de extensión qué sitios web pueden comunicarse con la billetera de extensión? ¿Cómo interactúa la billetera de extensión con las páginas web? ¿Puede un sitio web malicioso usar una vulnerabilidad en la extensión para atacar la propia extensión u otras páginas en el navegador? ¿Puede un sitio web malicioso leer o modificar datos pertenecientes a una extensión sin el consentimiento del usuario? ¿Son las carteras de extensión vulnerables al clickjacking? ¿El monedero de extensión (generalmente script de fondo) verifica el origen del mensaje antes de procesarlo? ¿La aplicación implementa una política de seguridad de contenido efectiva? Después de escribir el código para la aplicación web, ¿por qué no usar ese código para crear una aplicación de escritorio en Electron? Entre las carteras de escritorio probadas en el pasado, aproximadamente el 80% de las carteras de escritorio se basan en el marco Electron. Al probar una aplicación de escritorio basada en Electron, no solo busque posibles vulnerabilidades en la aplicación web, sino que también verifique que la configuración de Electron sea segura. CertiK ha analizado las vulnerabilidades de la aplicación de escritorio de Electron, puede hacer clic para visitar este artículo para obtener más información. Las siguientes son las categorías de auditoría que se verificarán cuando se evalúe la billetera de escritorio basada en Electron: ¿Qué versión de Electron usa la aplicación? ¿La aplicación carga contenido remoto? ¿La aplicación deshabilita "nodeIntegration" y "enableRemoteModule"? ¿La aplicación tiene habilitadas las opciones "contextisolation", "sandbox" y "webSecurity"? ¿La aplicación permite a los usuarios saltar de la página actual de la billetera a cualquier página externa en la misma ventana? ¿La aplicación implementa una Política de seguridad de contenido efectiva? ¿La secuencia de comandos de precarga contiene código del que se podría abusar? ¿La aplicación pasa la entrada del usuario directamente a funciones peligrosas (como "openExternal")? ¿Usará la aplicación un protocolo personalizado inseguro? Más de la mitad de las aplicaciones de billetera criptográfica que probamos no tienen un servidor centralizado, están directamente conectadas al nodo de la cadena de bloques. El equipo técnico de CertiK ve esto como una forma de reducir la superficie de ataque y proteger la privacidad del usuario. Sin embargo, si la aplicación desea brindar a los clientes más funciones que la administración de cuentas y la transferencia de tokens, la aplicación puede requerir un servidor centralizado con una base de datos y un código del lado del servidor. Los elementos para probar los componentes del lado del servidor dependen en gran medida de las características de la aplicación. Hemos compilado la siguiente lista de verificación de vulnerabilidades en función de las vulnerabilidades del lado del servidor descubiertas durante nuestra investigación y compromiso con los clientes. Por supuesto, no contiene todas las posibles vulnerabilidades del lado del servidor.

Tags：

SHIB