區塊鏈:區塊鏈安全100問 | 第三篇：數字錢包面臨的安全風險

零時科技區塊鏈安全100問正式上線，以通俗易懂的語言形式為大家講解區塊鏈行業知識，以及區塊鏈生態應用存在的安全問題，讓更多人了解區塊鏈及區塊鏈安全。

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

1-數字錢包是什么？

區塊鏈數字錢包是存儲和管理、使用數字貨幣的工具，在區塊鏈領域有舉足輕重的地位，是用戶接觸數字貨幣的入口。

錢包在形態上，可以劃分成為軟件錢包和硬件錢包。軟件錢包就是一個APP，裝在我們的手機上，硬件錢包就是專門有一個設備來存儲這個私鑰。

美國華盛頓州州長簽署法案，成立工作組研究區塊鏈的應用潛力:3月31日消息，美國華盛頓州通過旨在擴大當地區塊鏈采用的法案。華盛頓州州長Jay Inslee簽署一項法案，使其成為法律，旨在擴大該州在各個金融和工業部門采用區塊鏈技術的范圍。

根據SB 5544法案，Jay Inslee下令成立華盛頓區塊鏈工作組，該工作組將“研究區塊鏈技術的各種潛在應用”。該工作組將由七名政府官員和全州各行業協會的八名領導人組成。它將研究區塊鏈技術的實際應用，并在2023年12月1日前向州長提交一份研究結果報告。（Cointelegraph）[2022/3/31 14:29:15]

按照私鑰和簽名這個動作是否永遠離線來區分，可分為熱錢包和冷錢包。

根據私鑰的存儲和簽名發起方式區分，可以分為中心化錢包和去中心化錢包，基于區塊鏈的加密數字資產的使用，大多都是用去中心化錢包。

中科院軟件所區塊鏈應用研究聯合實驗室海南分中心正式授牌:7月10日消息，中國科學院軟件研究所區塊鏈應用研究聯合實驗室（中科院區塊鏈實驗室）與海南海富科技有限公司就實驗室海南分中心舉行授牌儀式。中科院軟件中心主任姚從洲，中科院區塊鏈實驗室特聘專家、中央財經大學教授、金融法研究所所長、北京區塊鏈技術應用協會副會長、中央黨校教材《與領導干部談區塊鏈》作者黃震，中科院區塊鏈實驗室常務副主任王雷等出席儀式。中科院區塊鏈實驗室致力于區塊鏈技術的前沿理論研究和開發應用，積極推進區塊鏈技術和社會經濟的融合進化。中科院區塊鏈實驗室海南分中心將重點落實區塊鏈在實體經濟體中不同產業領域的應用，為實體經濟賦能。[2021/7/10 0:42:15]

2-數字錢包面臨的安全風險有哪些？

區塊鏈數字錢包存在多種形式，面臨的安全風險也是多樣性的，主要面臨的安全風險包括但不限于如下幾方面：

中國駐韓大使：中韓兩國可在區塊鏈領域合作:中國駐韓國大使館網站2月1日消息，新年伊始，邢海明大使接受韓國成均館大學李熙玉教授專訪，知名學術期刊《中國觀察》2021年第1期中韓雙語版本以《新疫情時代，中韓關系發展再起航》為題全文刊登訪談內容。邢大使在訪談中就中韓關系等廣泛議題發表看法，鼓勵韓國學界友人繼續關注中國，推動中韓關系發展。 邢大使指出中韓在很多領域優勢互補，著眼疫后，雙方可結合第三方市場的發展需求和戰略規劃以及兩國企業各自比較優勢，推動在智慧城市、人工智能、數字經濟、可再生能源和健康醫療等戰略新興產業的合作，疫情深刻改變了人們的生活方式，催化加速了自動化、數字化、智能化的運用。中韓兩國應順應時勢，抓住機遇，發揮各自在數字產業的比較優勢，加強在區塊鏈等方面合作，深化數字經濟產業鏈融合。[2021/2/1 18:37:45]

1、運行環境的安全風險

美國國土安全部將參與食品分發的“區塊鏈管理人員”列為重要基礎設施工作人員:根據3月19日一份有關冠狀病危機的備忘錄，美國國土安全部已將食品和農業分銷部門的\"區塊鏈管理人員\"列為關鍵的基礎設施工作人員。這份備忘錄由網絡安全和基礎設施安全局(CISA)發布。在這份備忘錄中，CISA建議“如果在國土安全部定義的關鍵基礎設施行業工作，比如醫療服務、制藥和食品供應，你有特殊的責任來維持你的正常工作日程”。該清單包括以下項目:支持食品、飼料和飲料分銷的員工和公司，包括倉庫工人、供應商管理的庫存控制員和區塊鏈經理。備忘錄稱：“這份名單是在與聯邦機構合作伙伴、行業專家、州和地方官員磋商后制定的。CISA將繼續征求并接受清單上的反饋，并將根據利益相關者的反饋來改進清單。”（The Block）[2020/3/20]

加密數字貨幣錢包最核心的文件——私鑰/助記詞是存儲在終端設備上的，無論是PC端還是移動端，終端設備如果出現不安全的現象，對于私鑰/助記詞來說是有非常高的安全風險。

金色實力派 | 絲路集團：“一帶一路”上的區塊鏈戰略布局:當下區塊鏈與實體經濟相結合已成為不可阻擋的時代大潮，金色財經推出“區塊鏈+產業新模式”系列訪談“實力派”，對話走在區塊鏈+最前端的明星企業和集團。1月17日13:00，對話絲路集團、微觀科技，一起來看看在“一帶一路”上的區塊鏈戰略布局，詳情可查看原文鏈接。[2020/1/17]

一個安全的數字錢包，在設計之初就應該避免因為運行環境而導致的私鑰/助記詞存在被盜可能。終端上運行環境的安全問題主要包括病軟件、操作系統漏洞和硬件漏洞等。

2、網絡傳輸的安全風險

網絡傳輸的安全性更多地體現在是否有良好的對抗中間人攻擊的能力上。中間人攻擊是指攻擊者與通訊的兩端分別創建獨立的聯系，并交換其所收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。

安全的數字錢包需要能夠對終端里面全部的數字證書的合法性進行掃描、對網絡傳輸過程中的代理設置進行檢查并能夠保障基礎的網絡通訊環境的安全性。

在數字錢包的開發中，在網絡傳輸層面是否使用雙向校驗的方式進行通訊驗證也是衡量一個數字錢包應用安全性的重要評判標準。

3、文件存儲方式的安全風險

對于數字錢包的私鑰/助記詞，終端設備的存儲方式也是需要在安全性設計上加以注意的。私鑰/助記詞文件存放目錄的訪問權限、私鑰/助記詞存儲的形式和加密算法設計都需要通過嚴密設計。

在對多款主流數字錢包進行安全性分析時，我們發現即使是知名的數字錢包，在私鑰/助記詞的存儲上也是比較隨意的。既有明文存儲，也有加密存儲，但是解密的密鑰卻是在代碼里面固定寫死的，起不到任何的安全防御作用。

4、應用自身的安全風險

應用自身的安全風險主要集中在應用安裝包自身的安全防御上。

應用安裝包是否具備抗篡改能力。另外，應用運行過程中的內存安全、反調試、私鑰/助記詞使用的生命周期管理、調試日志的安全性、開發流程的安全等方面也是需要去設計增強的。

5、數據備份的安全風險

如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。舉例來說，如果終端設備上允許數據備份，那么就可以利用系統的備份機制對應用的數據文件進行備份，而加密數字貨幣的私鑰/助記詞也就被備份到外部介質了，這就從另外一個方向打破了操作系統的安全邊界設計。

對于廣大用戶來說，數字錢包的安全也意味著財富的安全，所以我們在選擇數字錢包時一定要慎重對待，不可掉以輕心。

3-數字錢包該如何進行安全審計？

無論是中心化還是去中心化錢包，軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試，針對數字錢包的安全審計包括但不限于如下測試項：

1、網絡和通信安全測試

網絡節點應達到及時發現和抵抗網絡攻擊的功能；2、錢包運行環境安全

錢包能夠對操作系統進行已知重大漏洞進行檢測，虛擬機檢測，完整性檢測；數字錢包需具有第三方程序劫持檢測功能，防止第三方程序劫持錢包盜取相關用戶信息。3、錢包認證安全

錢包認證過程中必須設置錢包解鎖密碼用于解鎖錢包，防止設備丟失后錢包信息被竊取；使用錢包進行交易簽名必須設置支付密碼，防止解鎖后解密的私鑰被竊取；使用錢包日志功能必須設置日志密碼，防止錢包密碼丟失后攻擊者直接清除錢包操作日志；交易密碼需使用多因素認證，例如：指紋、面部識別、OTP令牌、短信驗證碼等，防止密碼泄露導致私鑰丟失。4、錢包交易安全

錢包發出的所有交易必須進行簽名，簽名時必須通過輸入支付密碼解密私鑰，交易簽名生成后必須清除內存中解密后的私鑰，防止內存中的私鑰被竊取而泄漏等。5、錢包日志安全

為了方便用戶進行審計錢包操作行為，防止異常操作和未授權的操作，需記錄錢包的操作日志，同時錢包日志必須通過脫敏處理，不得含有機密信息。6、節點安全審計

錢包節點應能記錄用戶的連接記錄、交易記錄，能夠保存審計記錄的過程和結果，便于管理員進行查詢；必須對節點服務器進行安全設計和安全加固。7、節點接口安全審計

接口需要對數據進行簽名，防止黑客對數據被篡改；接口訪問需要添加token認證機制，防止黑客進行重放攻擊；節點接口需要對用戶連接速率進行限制，防止黑客模擬用戶操作進行CC攻擊。8、數據存儲安全

錢包生成的私鑰必須通過加密算法加密后才能進行存儲，同時錢包的本地靜態文件不得含有明文的敏感信息。9、數據的備份與回復

錢包生成的私鑰或者助記詞，必須在確保安全的情況下進行備份處理，避免私鑰意外丟失導致資金無法找回。如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。10、靜態代碼安全審計

錢包APP必須進行正規的代碼審計，以確保錢包不會有額外功能權限用來收集用戶私鑰，保證APP本身的安全性。

區塊鏈安全100問正在持續更新，歡迎大家后臺發送自己的觀點，如有對區塊鏈行業及應用有獨到見解或者疑問的朋友直接評論區留言哦！我們會把相關問題統計整理，為大家解答哦！?

Tags：區塊鏈數字錢包數字貨幣CIS區塊鏈幣在中國合法嗎數字錢包的id號在哪里找到dds幣數字貨幣有人玩過嗎CIS幣

以太坊交易所