區塊鏈安全100問 | 第三篇：數字錢包面臨的安全風險_區塊鏈

零時科技區塊鏈安全100問正式上線，以通俗易懂的語言形式為大家講解區塊鏈行業知識，以及區塊鏈生態應用存在的安全問題，讓更多人了解區塊鏈及區塊鏈安全。

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

1-數字錢包是什么？

區塊鏈數字錢包是存儲和管理、使用數字貨幣的工具，在區塊鏈領域有舉足輕重的地位，是用戶接觸數字貨幣的入口。

錢包在形態上，可以劃分成為軟件錢包和硬件錢包。軟件錢包就是一個APP，裝在我們的手機上，硬件錢包就是專門有一個設備來存儲這個私鑰。

于佳寧：所有行業都值得用“區塊鏈+”的方式重做一次:11月15日，由中關村人才協會與南京鼓樓高新區聯合主辦的“第二屆數字經濟產業與人才發展論壇”在北京召開。中國通信工業協會區塊鏈專委會輪值主席、火幣大學校長于佳寧在會上表示，2021年區塊鏈技術應用將進入“產業區塊鏈2.0”新階段，這具體表現為五大趨勢，趨勢一是“區塊鏈+”將成為創新創業的主戰場，趨勢二是數字人民幣將成為產業數字化轉型的關鍵動力，趨勢三是區塊鏈、5G、人工智能、大數據等技術融合將改變社會形態，趨勢四是“資產上鏈”成為大勢所趨，趨勢五是數據要素化機遇顯現。他還指出，所有行業都值得用“區塊鏈+”的方式重做一次，數字人民幣不僅僅是支付通道，更是企業數字化轉型的關鍵工具，企業運營和管理方式將發生根本性改變，新智能商業時代已經來臨，要推動智能化技術集成創新應用，加快推動更多企業“上鏈”相關應用。（中國網）[2020/11/16 20:59:06]

按照私鑰和簽名這個動作是否永遠離線來區分，可分為熱錢包和冷錢包。

聲音 | 王鋒：恒生研究院目前主要集中在區塊鏈等方面的探索:恒生電子副總裁王鋒日前接受中國證券報記者采訪時表示，2016年，恒生成立研究院。恒生研究院主要研究3-5年左右可以為金融行業使用的基礎性技術。目前主要集中在AI、大數據、云、區塊鏈等方面的探索。（中證網）[2019/12/15]

根據私鑰的存儲和簽名發起方式區分，可以分為中心化錢包和去中心化錢包，基于區塊鏈的加密數字資產的使用，大多都是用去中心化錢包。

2-數字錢包面臨的安全風險有哪些？

區塊鏈數字錢包存在多種形式，面臨的安全風險也是多樣性的，主要面臨的安全風險包括但不限于如下幾方面：

1、運行環境的安全風險

加密數字貨幣錢包最核心的文件——私鑰/助記詞是存儲在終端設備上的，無論是PC端還是移動端，終端設備如果出現不安全的現象，對于私鑰/助記詞來說是有非常高的安全風險。

動態 | 區塊鏈將促進新西蘭IT出口增長:據CCN報道，根據新西蘭創新機構Callaghan Innovation發布的報告，如果該國采用區塊鏈技術，IT出口行業將有充足的增長空間。目前，新西蘭的IT部門每年產生160億新西蘭元，雇傭近10萬人。該報告指出，區塊鏈初創公司的員工往往分布在世界各地，因此新西蘭應該努力確保該國成為科技人才居住的首選國家。此外，報告建議采取各種措施為區塊鏈創造有利環境，包括解除區塊鏈公司訪問銀行服務的限制。該報告呼吁該國的金融監管機構和中央銀行共同努力。[2018/12/19]

一個安全的數字錢包，在設計之初就應該避免因為運行環境而導致的私鑰/助記詞存在被盜可能。終端上運行環境的安全問題主要包括病軟件、操作系統漏洞和硬件漏洞等。

2、網絡傳輸的安全風險

動態 | 2018年中國區塊鏈市場支出規模預計達1. 6億美元:據36氪消息，根據IDC《全球半年度區塊鏈支出指南》數據顯示，2017年中國區塊鏈市場支出規模約為8300萬美元，預計2018年中國區塊鏈市場支出規模達1. 6億美元。現階段區塊鏈的總體市場規模較小，這是因為市場上的區塊鏈項目多處于嘗試階段，投入不大。另一方面，很多企業已經認識到了區塊鏈的潛力，計劃在未來增加預算，受此影響，中國區塊鏈市場將迎來快速增長，2022年的市場支出規模預計達到14.2億美元，2017–2022年的年均復合增長率為76.3%。[2018/11/12]

網絡傳輸的安全性更多地體現在是否有良好的對抗中間人攻擊的能力上。中間人攻擊是指攻擊者與通訊的兩端分別創建獨立的聯系，并交換其所收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。

動態 | 韓國現代集團附屬公司向3000萬球迷播放區塊鏈廣告:據Newsbtc消息，在世界杯英格蘭與瑞典對陣的半場時間，韓國現代集團附屬公司現代數字資產公司（HDAC）在BBC、ITV播出了區塊鏈廣告并闡述區塊鏈技術的好處，當時觀看比賽的球迷約3000萬人。[2018/7/9]

安全的數字錢包需要能夠對終端里面全部的數字證書的合法性進行掃描、對網絡傳輸過程中的代理設置進行檢查并能夠保障基礎的網絡通訊環境的安全性。

在數字錢包的開發中，在網絡傳輸層面是否使用雙向校驗的方式進行通訊驗證也是衡量一個數字錢包應用安全性的重要評判標準。

3、文件存儲方式的安全風險

對于數字錢包的私鑰/助記詞，終端設備的存儲方式也是需要在安全性設計上加以注意的。私鑰/助記詞文件存放目錄的訪問權限、私鑰/助記詞存儲的形式和加密算法設計都需要通過嚴密設計。

在對多款主流數字錢包進行安全性分析時，我們發現即使是知名的數字錢包，在私鑰/助記詞的存儲上也是比較隨意的。既有明文存儲，也有加密存儲，但是解密的密鑰卻是在代碼里面固定寫死的，起不到任何的安全防御作用。

4、應用自身的安全風險

應用自身的安全風險主要集中在應用安裝包自身的安全防御上。

應用安裝包是否具備抗篡改能力。另外，應用運行過程中的內存安全、反調試、私鑰/助記詞使用的生命周期管理、調試日志的安全性、開發流程的安全等方面也是需要去設計增強的。

5、數據備份的安全風險

如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。舉例來說，如果終端設備上允許數據備份，那么就可以利用系統的備份機制對應用的數據文件進行備份，而加密數字貨幣的私鑰/助記詞也就被備份到外部介質了，這就從另外一個方向打破了操作系統的安全邊界設計。

對于廣大用戶來說，數字錢包的安全也意味著財富的安全，所以我們在選擇數字錢包時一定要慎重對待，不可掉以輕心。

3-數字錢包該如何進行安全審計？

無論是中心化還是去中心化錢包，軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試，針對數字錢包的安全審計包括但不限于如下測試項：

1、網絡和通信安全測試

網絡節點應達到及時發現和抵抗網絡攻擊的功能；2、錢包運行環境安全

錢包能夠對操作系統進行已知重大漏洞進行檢測，虛擬機檢測，完整性檢測；數字錢包需具有第三方程序劫持檢測功能，防止第三方程序劫持錢包盜取相關用戶信息。3、錢包認證安全

錢包認證過程中必須設置錢包解鎖密碼用于解鎖錢包，防止設備丟失后錢包信息被竊取；使用錢包進行交易簽名必須設置支付密碼，防止解鎖后解密的私鑰被竊取；使用錢包日志功能必須設置日志密碼，防止錢包密碼丟失后攻擊者直接清除錢包操作日志；交易密碼需使用多因素認證，例如：指紋、面部識別、OTP令牌、短信驗證碼等，防止密碼泄露導致私鑰丟失。4、錢包交易安全

錢包發出的所有交易必須進行簽名，簽名時必須通過輸入支付密碼解密私鑰，交易簽名生成后必須清除內存中解密后的私鑰，防止內存中的私鑰被竊取而泄漏等。5、錢包日志安全

為了方便用戶進行審計錢包操作行為，防止異常操作和未授權的操作，需記錄錢包的操作日志，同時錢包日志必須通過脫敏處理，不得含有機密信息。6、節點安全審計

錢包節點應能記錄用戶的連接記錄、交易記錄，能夠保存審計記錄的過程和結果，便于管理員進行查詢；必須對節點服務器進行安全設計和安全加固。7、節點接口安全審計

接口需要對數據進行簽名，防止黑客對數據被篡改；接口訪問需要添加token認證機制，防止黑客進行重放攻擊；節點接口需要對用戶連接速率進行限制，防止黑客模擬用戶操作進行CC攻擊。8、數據存儲安全

錢包生成的私鑰必須通過加密算法加密后才能進行存儲，同時錢包的本地靜態文件不得含有明文的敏感信息。9、數據的備份與回復

錢包生成的私鑰或者助記詞，必須在確保安全的情況下進行備份處理，避免私鑰意外丟失導致資金無法找回。如果移動應用能夠被備份出來，就可以使用計算性能更加強大的機器對私鑰/助記詞進行暴力破解。10、靜態代碼安全審計

錢包APP必須進行正規的代碼審計，以確保錢包不會有額外功能權限用來收集用戶私鑰，保證APP本身的安全性。

區塊鏈安全100問正在持續更新，歡迎大家后臺發送自己的觀點，如有對區塊鏈行業及應用有獨到見解或者疑問的朋友直接評論區留言哦！我們會把相關問題統計整理，為大家解答哦！?

Tags：區塊鏈數字錢包數字貨幣300區塊鏈最新應用各銀行數字錢包編號規則被朋友騙去弄數字貨幣怎么辦杭州女子花300萬買比特幣yhhh

火幣交易所