网络安全认证平台 CER 表示,绝大多数钱包都没有聘请外部专家进行渗透测试。
45 个加密钱包品牌中只有 6 个接受了渗透测试新闻
网络安全认证平台 CER 7 月份的一份报告发现,在 45 个加密货币钱包品牌中,只有 6 个品牌(占 13.3%)进行了渗透测试,以发现安全漏洞。其中,只有一半对其产品的最新版本进行了测试。
报告称,已进行最新渗透测试的三个品牌是 MetaMask、ZenGo 和 Trust Wallet。Rabby 和 Bifrost 对其软件的旧版本进行了渗透测试,Ledger Live 则对未知版本(报告中列为 "不适用")进行了测试。报告中列出的所有其他品牌都没有提供任何证据证明做过这些测试。
报告还对每个钱包的安全性进行了综合排名,将 MetaMask、ZenGo、Rabby、Trust Wallet 和 Coinbase Wallet 列为安全性最高的钱包。
钱包安全性的 CER 排名。来源:CER
"渗透测试 "是一种发现计算机系统或软件安全漏洞的方法。安全研究人员试图入侵设备或软件,并将其用于非预期目的。在大多数情况下,渗透测试人员几乎不了解产品的工作原理。这一过程用于模拟真实世界中的黑客尝试,以便在产品发布前发现漏洞。
CER 发现,在 45 个钱包品牌中,有 39 个根本没有进行任何渗透测试,甚至没有对旧版本的软件进行渗透测试。CER 推测,原因可能是这些测试的成本很高,尤其是如果公司频繁升级产品的话,"我们将其归因于一般应用程序的更新量,每一次新的更新都可能使之前进行的五项测试失效"。
CER 发现,最受欢迎的钱包品牌更有可能执行安全审计,包括渗透测试,因为它们通常有资金这样做:
"从本质上讲,受欢迎的钱包倾向于采用更强大的安全措施,以保护其不断增长的用户群。这似乎是合乎逻辑的--因为用户基数越大,往往意味着需要保护的资金越多,能见度越高,潜在威胁也就越多。这也会产生一个正反馈循环,安全性更高的钱包会比安全性较低的钱包吸引更多的新用户。”
CER 的钱包排名方法包括对于发现漏洞给予赏金、复验过去发生的被盗事件以及修复方法和提升密码要求等安全功能。
虽然大多数钱包品牌并不进行渗透测试,但 CER 指出,许多钱包品牌确实依靠漏洞悬赏来发现漏洞,这通常是防止黑客攻击的有效手段。该公司将 159 个钱包中的 47 个钱包整体评为 "安全",这意味着它们的安全得分高于 60 分。这 159 个钱包中包括一些来自同一品牌的钱包。例如,用于 Edge 浏览器的 MetaMask 被认为是与用于 Android 的 MetaMask 不同的钱包。
钱包安全已成为2023年的一个紧迫问题,因为在6月3日的Atomic钱包黑客攻击事件中损失了1亿多美元。Atomic 团队推测,漏洞可能是由公司基础设施中的病毒或恶意软件注入造成的,但允许攻击的确切漏洞仍不得而知。网络钱包 MyAlgo 也在 2 月底遭遇了安全漏洞,用户损失估计超过 900 万美元。