Primer lanzamiento | Lista de verificación de auditoría de seguridad de billetera encriptada: ¿Es segura su billetera?

Este artículo fue escrito por el equipo de Certik y autorizado por Jinse Finance para su publicación. En el último mes, el valor de Bitcoin aumentó de $18,000 a $20,000. Hay novedades en el círculo de las divisas: antes de Navidad, Bitcoin subirá con fuerza. Anoche, BTC se apresuró al alto nivel de 23000 de manera muy competitiva. Liderado por el auge de Bitcoin, el círculo de divisas ha caído en un frenesí, y el mercado digital encriptado está de moda.Las criptomonedas como Ethereum, Ripple y Litecoin también están en aumento. Desde ayer por la noche hasta hoy, el círculo monetario ha protagonizado escenas de "fragancia verdadera" a gran escala, y los inversores ávidos en el mercado han entrado en la "lucha" uno tras otro. En comparación con el carnaval de bitcoin de 2017, este repunte puede parecer más estable. 2020 es un año especial para todos, con el estallido de la epidemia y la agitación en el círculo monetario. El surgimiento y el auge del desarrollo de las finanzas descentralizadas DeFi ha hecho que la cadena de bloques comience a atraer nuevamente la atención de las personas. Con el lanzamiento de nuevos proyectos de blockchain, más de 2000 activos encriptados, más y más billeteras encriptadas han ingresado al mercado y más y más usuarios han comenzado a inundar este campo. Cuando los activos propiedad del campo de cifrado se vuelven cada vez más grandes, la crisis del peligro potencial para la seguridad también se revela por completo. En los últimos años, los incidentes de seguridad de la billetera digital han ocurrido con frecuencia. El 19 de noviembre del año pasado, Ars Technica informó que se filtraron dos datos de billeteras de criptomonedas y se robaron 2,2 millones de información de cuentas. El investigador de seguridad Troy Hunt confirmó que los datos robados provenían de las cuentas de la billetera de criptomonedas GateHub y del proveedor de bots RuneScape EpicBot. Esta no es la primera vez que Gatehub sufre una violación de datos. Según los informes, en junio del año pasado, los piratas informáticos comprometieron alrededor de 100 billeteras XRP Ledger, lo que resultó en el robo de casi $ 10 millones en fondos. El 29 de marzo de 2019, robaron Bithumb. Se especula que el incidente fue causado por piratas informáticos que robaron la clave privada de la cuenta g4ydomrxhege propiedad de Bithumb. Inmediatamente, los piratas informáticos distribuyeron los fondos robados a varios intercambios, incluidos Huobi, HitBTC, WB y EXmo. Según datos no oficiales y estimaciones de usuarios, Bithumb sufrió pérdidas de hasta 3 millones de monedas EOS (alrededor de 13 millones de dólares estadounidenses) y 20 millones de monedas XRP (alrededor de 6 millones de dólares estadounidenses). Debido al anonimato y la descentralización de la moneda digital, es difícil recuperar los activos robados hasta cierto punto. Por lo tanto, la seguridad de la billetera es de suma importancia. El 9 de agosto de 2020, el ingeniero de seguridad de CertiK pronunció un discurso en la conferencia de seguridad de la cadena de bloques DEF CON con el tema: Explotar la billetera criptográfica insegura (utilización y análisis de la vulnerabilidad de la billetera encriptada) y compartió sus ideas sobre la seguridad de la billetera encriptada. Una billetera criptográfica es una aplicación que ayuda a los usuarios a administrar sus cuentas y simplificar el proceso de transacción. Algunos proyectos de blockchain lanzan aplicaciones de billetera encriptada para respaldar el desarrollo de la cadena, como Deepwallet para CertiK Chain. Además, hay compañías como Shapeshift que crean billeteras que admiten diferentes protocolos de cadena de bloques. Desde el punto de vista de la seguridad, el tema más importante para las billeteras encriptadas es evitar que los atacantes roben información como palabras mnemotécnicas y claves privadas de las billeteras de los usuarios. El año pasado, el equipo técnico de CertiK probó e investigó múltiples billeteras cifradas, y aquí comparten los métodos y procedimientos para la evaluación de seguridad de diferentes tipos de billeteras cifradas basadas en software. Hay 113 548 transacciones no confirmadas en Ethereum: Golden Finance News, según los datos de OKLink, hay 113 548 transacciones no confirmadas en Ethereum, la potencia informática actual de la red es 392,67TH/s, la dificultad de la red es 5,21P y la dirección actual de tenencia de la moneda es 55.605.390, un aumento interanual de 168.796, el volumen de transacciones en cadena de 24 horas fue de 3.067.816,1 ETH y el tiempo medio actual de generación de bloques es de 13 s. [2021/2/27 17:59:23] Para evaluar una aplicación, primero debe comprender su principio de funcionamiento → si la implementación del código sigue los mejores estándares de seguridad → cómo corregir y mejorar las partes con seguridad insuficiente. El equipo técnico de CertiK ha producido una lista de verificación de auditoría básica para billeteras cifradas, que refleja todas las formas de aplicaciones de billetera cifrada (móvil, web, extensión, escritorio), especialmente cómo las billeteras móviles y web generan y almacenan claves privadas de usuario. ¿Cómo genera la aplicación una clave privada? ¿Cómo y dónde almacena la aplicación información sin procesar y claves privadas? ¿La billetera está conectada a un nodo blockchain confiable? ¿La aplicación permite a los usuarios configurar nodos de blockchain personalizados? Si se permite, ¿qué impacto podría tener un nodo de cadena de bloques malicioso en una aplicación? ¿La aplicación se conecta a un servidor centralizado? En caso afirmativo, ¿qué información envía la aplicación cliente al servidor? ¿La aplicación requiere que el usuario establezca una contraseña segura? ¿La aplicación requiere autenticación de dos factores cuando un usuario intenta acceder a información confidencial o transferir dinero? ¿La aplicación utiliza bibliotecas de terceros vulnerables que pueden explotarse? ¿Hay secretos (p. ej., claves de API, credenciales de AWS) filtrados en los repositorios de código fuente? ¿Hay implementaciones de código obviamente malas (como malentendidos de criptografía) que aparecen en el código fuente del programa? ¿El servidor de aplicaciones impone conexiones TLS? Los dispositivos móviles, como los teléfonos móviles, tienen más probabilidades de perderse o ser robados que las computadoras portátiles. Al analizar amenazas contra dispositivos móviles, es importante considerar la situación en la que el atacante tiene acceso directo al dispositivo del usuario. Durante la evaluación, si un atacante obtiene acceso al dispositivo de un usuario, o si el dispositivo del usuario está infectado con malware, debemos tratar de identificar problemas potenciales que comprometan los activos de la cuenta y la contraseña. Además de la lista de verificación básica, estas son las categorías de auditoría que se deben agregar al evaluar las billeteras móviles: ¿La aplicación advierte a los usuarios que no tomen capturas de pantalla de datos confidenciales? ¿Las aplicaciones de Android impiden que los usuarios tomen capturas de pantalla cuando muestran datos confidenciales? ¿Las aplicaciones de iOS advierten a los usuarios que no tomen capturas de pantalla de datos confidenciales? ¿La aplicación filtra información confidencial en las capturas de pantalla de fondo? ¿La aplicación detecta si el dispositivo tiene jailbreak/rooteado? ¿La aplicación bloquea el certificado del servidor en segundo plano? ¿La aplicación registra información sensible en el registro del programa? ¿La aplicación contiene enlaces profundos mal configurados e intents que pueden explotarse?   ¿El paquete de la aplicación ofusca el código? ¿La aplicación implementa la funcionalidad anti-depuración? ¿La aplicación comprueba si se ha vuelto a empaquetar? (iOS) ¿Los datos almacenados en el llavero de iOS tienen propiedades suficientemente seguras? ¿La aplicación se ve afectada por la persistencia de los datos del llavero? ¿La aplicación desactiva el teclado personalizado cuando el usuario ingresa información confidencial? ¿Es seguro usar la aplicación "webview" para cargar sitios web externos? Las aplicaciones web se están convirtiendo gradualmente en una opción menos popular para una billetera completamente descentralizada. MyCrypto no permite a los usuarios utilizar el almacén de claves/mnemónico/clave privada para acceder a la billetera en la aplicación web, y MyEtherWallet también recomienda a los usuarios que no lo hagan. En comparación con las billeteras que se ejecutan en las otras tres plataformas, es relativamente más fácil realizar ataques de phishing en las billeteras en forma de aplicaciones web; si un atacante invade un servidor web, puede inyectar JavaScript malicioso en las páginas web y robar fácilmente la información de la billetera del usuario. Sin embargo, una billetera web construida de forma segura y probada exhaustivamente sigue siendo la mejor opción para que los usuarios administren sus criptoactivos. Además de las categorías de auditoría básicas regulares anteriores, cuando evaluamos las billeteras web de los clientes, también enumeramos las siguientes categorías que deben auditarse: ¿La aplicación tiene vulnerabilidades XSS de secuencias de comandos entre sitios? ¿La aplicación es vulnerable al secuestro de clics? ¿La aplicación tiene una política de seguridad de contenido válida? ¿La aplicación tiene una vulnerabilidad de redirección abierta? ¿La aplicación es vulnerable a la inyección de HTML? Es raro que las billeteras web usen cookies en estos días, pero si lo hacen, debe verificar: Atributos de cookies Falsificación de solicitud entre sitios (CSRF) Intercambio de recursos de origen cruzado (CORS) Configuración incorrecta ¿La aplicación contiene algo más que la funcionalidad básica de la billetera? ¿Hay otras funciones además de estas funciones? ¿Existen vulnerabilidades que se pueden explotar en estas funciones? Vulnerabilidades no mencionadas anteriormente en el OWASP Top 10. Metamask, una de las billeteras criptográficas más famosas y utilizadas, viene en forma de extensión de navegador. Una billetera de extensión funciona internamente como una aplicación web. La diferencia es que contiene componentes únicos llamados guión de contenido y guión de fondo.   El sitio web se comunica con la página extendida pasando eventos o mensajes a través de un guión de contenido y un guión de fondo. Una de las cosas más importantes durante la evaluación de una billetera de extensión es probar si un sitio web malicioso puede leer o escribir datos pertenecientes a la billetera de extensión sin el consentimiento del usuario. Además de la lista de verificación básica, las siguientes son las categorías de auditoría que se deben verificar al evaluar las billeteras de extensión: ¿Qué permisos requiere la extensión? ¿Cómo decide la aplicación de extensión qué sitios web pueden comunicarse con la billetera de extensión? ¿Cómo interactúa la billetera de extensión con las páginas web? ¿Puede un sitio web malicioso usar una vulnerabilidad en la extensión para atacar la propia extensión u otras páginas en el navegador? ¿Puede un sitio web malicioso leer o modificar datos pertenecientes a una extensión sin el consentimiento del usuario? ¿Son las carteras de extensión vulnerables al clickjacking? ¿El monedero de extensión (generalmente script de fondo) verifica el origen del mensaje antes de procesarlo? ¿La aplicación implementa una política de seguridad de contenido efectiva? Después de escribir el código para la aplicación web, ¿por qué no usar ese código para crear una aplicación de escritorio en Electron? Entre las carteras de escritorio probadas en el pasado, aproximadamente el 80% de las carteras de escritorio se basan en el marco Electron. Al probar una aplicación de escritorio basada en Electron, no solo busque posibles vulnerabilidades en la aplicación web, sino que también verifique que la configuración de Electron sea segura. CertiK ha analizado las vulnerabilidades de la aplicación de escritorio de Electron, puede hacer clic para visitar este artículo para obtener más información. Las siguientes son las categorías de auditoría que se verificarán cuando se evalúe la billetera de escritorio basada en Electron: ¿Qué versión de Electron usa la aplicación? ¿La aplicación carga contenido remoto? ¿La aplicación deshabilita "nodeIntegration" y "enableRemoteModule"? ¿La aplicación tiene habilitadas las opciones "contextisolation", "sandbox" y "webSecurity"? ¿La aplicación permite a los usuarios saltar de la página actual de la billetera a cualquier página externa en la misma ventana? ¿La aplicación implementa una Política de seguridad de contenido efectiva? ¿La secuencia de comandos de precarga contiene código del que se podría abusar? ¿La aplicación pasa la entrada del usuario directamente a funciones peligrosas (como "openExternal")? ¿Usará la aplicación un protocolo personalizado inseguro? Más de la mitad de las aplicaciones de billetera criptográfica que probamos no tienen un servidor centralizado, están directamente conectadas al nodo de la cadena de bloques. El equipo técnico de CertiK ve esto como una forma de reducir la superficie de ataque y proteger la privacidad del usuario. Sin embargo, si la aplicación desea brindar a los clientes más funciones que la administración de cuentas y la transferencia de tokens, la aplicación puede requerir un servidor centralizado con una base de datos y un código del lado del servidor. Los elementos para probar los componentes del lado del servidor dependen en gran medida de las características de la aplicación. Hemos compilado la siguiente lista de verificación de vulnerabilidades en función de las vulnerabilidades del lado del servidor descubiertas durante nuestra investigación y compromiso con los clientes. Por supuesto, no cubre todas las posibles vulnerabilidades del lado del servidor. Autenticación y autorización KYC y sus condiciones de carrera de validez Desconfiguración del servidor en la nube Desconfiguración del servidor web Referencia insegura de objeto directo (IDOR) Falsificación de solicitud del lado del servidor (SSRF) Carga insegura de archivos Cualquier tipo de inyección (SQL, comando, plantilla) Vulnerabilidades Lectura/escritura arbitraria de archivos Negocios errores lógicos Limitación de velocidad Denegación de servicio Fuga de información Con el desarrollo de la tecnología, los piratas informáticos implementan cada vez más métodos fraudulentos y de ataque. El equipo de tecnología de seguridad de CertiK espera que al compartir los riesgos de seguridad de las billeteras encriptadas, los usuarios puedan entender y comprender mejor los problemas de seguridad de las billeteras de moneda digital y aumentar su vigilancia. En esta etapa, muchos equipos de desarrollo prestan mucha menos atención a los problemas de seguridad que a los negocios y no brindan suficiente protección de seguridad para sus propios productos de billetera. Al compartir las categorías de auditoría de seguridad de las billeteras encriptadas, CertiK espera que las partes del proyecto de billetera encriptada tengan una comprensión clara de los estándares de seguridad del producto, promoviendo así las actualizaciones de seguridad del producto y protegiendo conjuntamente la seguridad de los activos de los usuarios. El ataque de moneda digital es un ataque integral de múltiples dimensiones técnicas. Es necesario considerar toda la seguridad de la aplicación involucrada en el proceso de gestión y circulación de moneda digital, incluido el hardware informático, el software de cadena de bloques, el software de servicio de cadena de bloques como billeteras y contratos inteligentes. Las billeteras encriptadas deben prestar atención a la detección y el monitoreo de posibles métodos de ataque para evitar múltiples ataques por el mismo método, y fortalecer los métodos de protección de seguridad de las cuentas de moneda digital, y usar almacenamiento en frío fuera de línea encriptado físicamente (almacenamiento en frío) para guardar digital importante monedas Además, es necesario contratar un equipo de seguridad profesional para realizar pruebas a nivel de red y encontrar vulnerabilidades a través de ataques simulados remotos

Tags：

Dogecoin Precio USD