价值数百亿美元的漏洞暴露还有什么威胁你的代币钱包？

5月29日，360公司火神（Vulcan）团队披露了新区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即通过远程攻击，直接控制和接管运行在EOS上的所有节点，引起了区块链和整个安全领域的高度关注。行业。其实不光是EOS平台，根据360信息安全部的研究，市面上20多个数字货币钱包APP或多或少都存在安全问题。

为了更准确地了解钱包APP的安全状况比特派钱包能提多少个比特币，360信息安全部对应用市场上流通的热钱包和冷钱包进行了相关的安全审计评估，并发布了数字安全威胁货币钱包APP。根据大势调研报告，针对6个常见问题，360安全可以提供包括核心代码加固、防录屏、终端检测、通信协议加密、数据文件保护等解决方案，全方位保护APP安全。

图1：钱包APP安全风险Top 5

数字货币钱包的安全威胁之一：核心功能代码未加固

Android 应用程序很容易被反编译以近似源代码而无需强化。因此，在没有加固的情况下，数字货币钱包很容易被重新打包。重新打包的效果与伪造漏洞相同。会给用户造成直接损失。同时，关键信息的泄露也会让黑客更容易分析代码逻辑。他们会利用相关算法提取助记词，逆向分析加解密过程，利用其他漏洞窃取助记词等信息。

图2：数字货币钱包很容易在没有加固的情况下重新打包

360加固为移动应用安全提供专业的防护平台，为开发者的应用提供免费的安全加固服务，打造多种防护方式，对应用进行深度加密；独有的程序文本信息加密功能，有效防止应用程序被反编译和恶意攻击。篡改，保护应用不被重新打包，保护数据信息不被黑客窃取。开发者可在5分钟内完成应用加固，无需任何开发成本，一键上传，彻底杜绝应用上线后被反编译、调试、破解、重新打包、内存拦截等威胁。给予官方应用最强保护，从源头杜绝恶意盗版应用，保护开发者收益。

数字货币钱包的第二个安全威胁：钱包APP运行环境不安全

数字货币钱包APP的一个安全重点是运行环境。 Android 是一个非常庞大且复杂的系统。 360安全团队在实际分析测试中发现，近四分之三的APP没有测试相关环境，无法保证用户运行APP的环境安全，最终可能导致用户资金的损失。

图3：Android系统漏洞导致钱包APP运行环境不安全

360安全基于设备终端检测技术全方位监控可判断设备是否root，安装Xposed框架，安装双开软件，是否为虚拟机，采用动静态双引擎检测技术，结合大数据深度挖掘的能力，第一时间发现新的恶意应用并进行预警拦截，确保设备端的应用处于安全状态。

数字货币钱包安全的第三大威胁：助记词和交易密码泄露

比特派是比特派官方推荐的第三方团队比特派开发的一款钱包应用。在 Google Play 上安装超过 10000 次。 360信息安全部在非Root环境下进行了录屏测试，发现助记词生成阶段无法录屏，但在导入钱包时可以录屏，可能导致助记词泄露导致数字货币账户被盗。同时，输入交易密码时也存在录屏漏洞，通过观察按键的按下顺序即可推导出交易密码。

图4：录屏可能导致交易密码泄露

这个问题可以通过360强屏SDK解决。该功能通过增强应用安全属性，防止在应用运行时截取屏幕信息获取用户信息，使用户信息得到极大保障。

数字货币钱包的第四大安全威胁：钱包APP伪造漏洞

钱包APP被黑客逆向添加恶意代码、返回助记词等敏感信息、修改交易收款人地址等，可能造成用户经济损失。同时，如果APP本身没有严格验证软件完整性，也会发生类似的事件。 2017年底出现的Janus签名漏洞可以直接应用在这个场景中。

图5：钱包APP被黑客逆转后添加恶意代码可能导致用户赔钱

开发者可以使用加固保护提供的安全扫描功能检测是否存在janus漏洞等安全问题。 APK一键上传，即可获得专业的安全风险报告，可直接上传加固。加固的APP遇到这个漏洞会直接崩溃。

数字货币钱包安全的第五大威胁：网络数据交互被劫持和篡改

用户通过数字货币钱包进行交易时，不仅要关注数据是否经过处理，还要衡量网络连接的安全性。加密比特派钱包能提多少个比特币，还要注意助记词、私钥等数据是否传回服务器。当存储助记词的服务器被黑时，极有可能账号被盗。

360安全通信协议加密SDK可以通过对开发者预先提交的https通信证书的检查和锁定，阻止各种第三方中间人注入工具（如fiddler、burp等），防止https通信数据不被截获、窃听和修改，极大地保护了https通信中的协议安全。

数字货币钱包安全威胁六：敏感钱包信息存储不正确

在数字货币世界中，最关键的是私钥，所以对于用户来说，数字货币钱包是最关键的助记词，助记词就是助记词。有了助记词，我们就可以推导出私钥了。因此，如果数字货币钱包使用错误的方式将助记词或私钥保存在本地，攻击者可以在根设备上对钱包文件进行解码，获取用户的助记词、钱包私钥等钱包数据。

图 6：钱包备份数据存在被错误存储的高风险

360安全可以保护应用程序运行过程中产生的数据文件进行加密保护，并将加密后的密钥信息保存在原生层保护壳中，防止数据文件被窃取和篡改。

现阶段，市场上存在大量良莠不齐、劣质的数字货币钱包，很多开发团队在商业化的原则下，对自己的钱包产品的安全性暂时没有做足够的保护。优先事项。如果出现安全问题，会导致大量用户账户币被盗，并且由于数字货币实现的特殊性，被盗资产很难追回。

就像EOS披露的“百亿级”漏洞一样，一旦被有心人利用，后果不堪设想，经济损失不可估量。因此，厂商在开发APP时需要注意安全加固，及时使用360加固等工具。