数字货币钱包“百花齐放”难掩安全隐患 仍需加把锁

本篇文章1374字，读完约3分钟

“21%的操作有截图和屏幕记录；26%未检测到系统运行环境；9%存在钱包应用伪造漏洞；6%的交易密码没有检测到弱密码；38%的核心代码没有得到强化。”这些数据来自360集团信息安全部最近发布的数字现金钱包安全性白皮书(以下简称“白皮书”)。

随着区块链的繁荣，数字现金逐渐为投资者所熟知，但随之而来的是安全问题。早在2014年，全球最大的比特币交易运营商mt.gox就遭到黑客攻击，窃取了85万枚比特币，占当时全球比特币总量的7%；2017年11月，以太网钱包平价被曝光，导致价值2.8亿美元的93万枚以太网硬币被冻结；2018年1月，数字现金证券交易所的硬币钱包遭到黑客攻击，价值5.3亿美元的新货币被盗。

所谓的数字现金钱包实际上是一种基于区块链技术的管理数字现金的应用，比如比特币。它一般提供钱包地址创建、转账、交易查询等功能。数字现金钱包中的“百花齐放”对应着区块链技术在数字虚拟货币中的广泛应用。在中国，2017年区块链相关项目融资总额超过12.7亿元，共发生54起融资事件；仅2018年1月，区块链行业融资总额就达到6.8亿元，共发生19起融资事件。

数字现金钱包的安全性从何而来？市场研究机构猎豹全球智库的一份研究报告显示，每个钱包地址对应一对密钥——私钥和公钥。公钥是根据私钥通过一定的数学运算生成的，私钥与公钥一一对应。公钥主要用于外部交易，而私钥是数字现金钱包中唯一能够证明其对数字资产拥有控制权的证书，因此其生成和存储方式决定了资产是否安全。记忆是明文私钥的另一种表现形式，因此助记符能否安全管理也是区分钱包是否安全的一个重要条件。

因此，对私钥和助记符的攻击已经成为数字现金钱包中最重要的安全风险之一。根据白皮书，数字现金中的钱包根据使用时的不同网络状态分为“热钱包”和“冷钱包”。由于业务场景的快速迭代和推广的需要，两个钱包都存在很多潜在的安全隐患，但一般来说，“热钱包”比“冷钱包”有更多的漏洞，更多的链接会被攻击。360集团信息安全部门负责人高雪峰表示:“以‘热门钱包’为例，如果新用户创建助记词时，钱包没有监控屏幕截图和记录操作，可能会导致助记词泄露。如果私钥生成过程的相关算法被颠倒，则黑客可以获得私钥。”此外，数字现金钱包还面临常见的网络攻击，包括恶意代码植入、输入监控、转移地址篡改等。

为什么数字现金钱包有这么多潜在的安全隐患，为什么对它的攻击能经常成功？高雪峰认为，区块链崛起后，数字现金钱包的安全标准严重滞后，大多数钱包开发团队以业务第一为原则，没有做好足够的安全保障。一旦黑客瞄准钱包并发现漏洞，他就会用1 空抢走账户货币，由于数字现金的匿名性和不可追踪性，被盗后很难找回。

目前，数字现金钱包的安全性主要取决于加强安全审计的平台。白皮书建议数字现金钱包服务提供商应进行一系列审计，包括域名系统安全测试、主机实例安全测试和服务器应用程序安全测试，并监控私钥、助记符、交易流程和数据存储的安全性。对于普通用户来说，可以采取的安全防范措施非常有限。

猎豹全球智库高级分析师刘鹏表示，对于普通用户来说，如果使用中的加密数字现金钱包存在安全漏洞，他们应该在开发商完成漏洞修复和升级版本之前，切换到其他安全的加密数字现金钱包，重新创建一个全新的钱包地址，通过转移将旧地址的资产转移到新地址，最后将旧地址作废。

来源：搜狐微门户