币圈最新消息
6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,据分析,Atomic Wallet 被盗用户目前总损失约 3500 万美元。而 Web3 钱包作为打开 Web3 世界的钥匙,职责是安全地托管用户的加密货币资产,一旦钱包程序本身被黑客攻破,用户的加密货币资产将面临被盗的风险。
因此,慢雾安全团队从 Web3 钱包本身的职责出发,针对 Web 和浏览器扩展钱包推出 Web 前端安全指南;针对钱包密钥生命周期(生成,存储,使用,备份,销毁)的管理,提出最佳的安全实现方式;同时参考 OWASP MASVS 国际标准,为 Web3 钱包客户端的安全制定相关的安全审计项。慢雾安全团队希望通过多年的一线安全攻防经验和优秀的国际标准,尽可能地保证 Web3 钱包客户端上的安全,降低加密货币资产被盗的风险。
同时,Web3 钱包作为 Web3 世界的钥匙,必然要和 Web3 中各种各样的 DApp 交互。在用户的交互过程中,钱包面临着很多安全挑战。黑客很擅长利用交互过程的设计缺陷骗取用户资产,如:利用 UI 劫持、欺骗用户签名;利用盲签名欺骗用户签名;利用 Permit 签名盗取用户的资产;利用 TransferFrom 零转欺骗用户进行钓鱼;采用尾号相同空头实施骗局;对 NFT 进行钓鱼等其它通用的钓鱼手法。针对用户交互过程和黑客常用钓鱼手法,慢雾安全团队独家提出了用户交互过程的安全审计,该审计项包含:WYSIWYS(所见即所签策略);AML 策略;anti-phishing 策略;pre-execution 策略等多个策略来抵御黑客的攻击,降低用户被钓鱼的风险,保证加密货币资产的安全。
基于上述内容,慢雾安全团队针对 Web3 钱包安全审计服务全面升级安全审计项,具体如下:
1、针对浏览器扩展钱包的安全审计项:
注:针对浏览器扩展钱包,慢雾建议务必采用白盒审计,尽可能保证较全面的审计覆盖率。
2、针对移动端和桌面端钱包的安全审计项:
注:针对移动端和桌面端钱包,慢雾建议审计费用充足的情况下务必采用白盒审计;如果审计费用不足,也需要保证黑灰盒为主、白盒为辅的审计方式,尽可能保证较全面的审计覆盖率。
如下是慢雾安全团队钱包安全审计的部分案例:
钱包作为加密世界的入口及 Web3 基础设施,确保其安全是对行业生态健康发展的重要保证,而对钱包进行安全审计无疑是确保其安全的最有效解决方案之一。慢雾安全团队建议各项目在上线前先做好安全审计,一方面能够更好地保护用户资产,避免不必要的损失,另一方面也能使生态发展更为健康稳健。
