赵相宾
2022-08-11

最近,美国参议院提出了一项法案,该法案将赋予 商品期货交易委员会 (CFTC) 对加密货币的监督权,将其视为数字商品。然而,无论该法案是否成为法律,银行和金融机构都应该密切关注加密货币,除非是出于安全考虑。毕竟,一些金融服务机构正在销售加密货币产品,比如 美国银行的加密货币托管服务。但银行关心加密货币还有一个更重要的原因。很明显,民族国家正在朝着数字货币的方向发展,其中一些国家实际上已经发行了它们,例如 巴哈马沙元. 甚至美国 也在认真权衡 CBDC 和数字美元的问题。加密货币面临的许多安全漏洞也与中央银行数字货币(CBDC)有关。

copritocurry.jpg 

投资加密货币的消费者通常将其加密货币存储在数字钱包中,该钱包作为智能手机上的移动应用程序存在。网络犯罪分子很清楚,这意味着他们很容易成为攻击目标。而且,与任何应用程序一样,有无数种方法可以攻击加密钱包,但根据我使用加密货币和作为安全专业人员的经验,确保应用程序免受这五种最常见的攻击将大大增加为消费者提供的保护。

 

窃取密钥和密码

 

 应用程序级别的密钥加密是绝对必须的。如果首选区域、应用程序沙箱、SD 卡或剪贴板等外部区域中的密钥未加密,黑客将能够窃取它们。一旦他们有了钥匙,他们就可以用钱包里的资金做他们想做的事。

 

如果在应用程序级别加密,即使设备本身受到威胁,密钥也将保持安全。

 

对私钥的动态攻击

 

加密钱包的密钥和密码短语也可能被动态窃取,这意味着当钱包所有者将密钥或密码短语字符输入加密钱包移动应用程序时,它们会以某种方式被截获。黑客通常使用以下三种方法之一来做到这一点:

 

过肩攻击:从历史上看,这是指黑客在物理上和秘密地接近用户,可以看到他们将密码短语输入加密钱包。但是今天,没有必要在肉体中存在。为此可以滥用屏幕截图和屏幕录制。

 

键盘记录恶意软件:在这里,恶意软件在应用程序的后台运行,以捕获每次击键并将其发送给网络犯罪分子。智能手机的生根 (Android) 和越狱 (iOS) 使键盘记录更容易完成。

 

覆盖攻击:在这种情况下,恶意软件会放置一个看起来真实或透明的屏幕,诱使加密钱包的所有者将凭据输入到钱包应用程序内的字段或恶意屏幕中。该恶意软件要么将信息直接传输给网络犯罪分子,要么直接接管钱包,将钱包中的资金转移给黑客。

 

防御这些威胁需要应用程序检测键盘记录、覆盖和录音,因此它可以通过警告钱包所有者甚至完全关闭应用程序来采取直接行动。

 

恶意检测

 

移动钱包的安全性取决于运行它的平台的完整性,因为如果设备被 root 或越狱,或者如果黑客滥用像 Frida 这样的开发工具,他们就可以访问客户端应用程序的区块链地址。他们甚至可以冒充应用程序自行进行交易。移动加密钱包应用程序必须能够判断它们何时在 root 或越狱环境中工作,以便在需要时关闭以保护用户。他们还必须能够阻止 MagiskFrida 和其他可被滥用以破坏关键功能完整性的动态分析和检测工具。

 

同样重要的是,开发人员应该混淆应用程序的代码,这样黑客就很难对应用程序的内部工作和逻辑进行逆向工程。

 

中间人 (MitM) 攻击

 

许多加密钱包是可以去中心化或中心化的交易所的一部分。无论哪种方式,当应用程序与服务器通信或点对点交易期间,通信都容易受到中间人攻击。传输中的数据应使用 AES-256 加密进行保护,并且必须对所有通信严格执行安全套接字层 (SSL)/传输层安全 (TLS)

 

模拟器

 

黑客还能够制作加密钱包应用程序的修改版本。他们还可以将这些修改后的应用程序与模拟器和模拟器一起使用,以创建欺诈性账户、进行欺诈性交易和转移加密货币。

 

运行时应用程序自我保护 (RASP) 方法,特别是反篡改、反调试和仿真器检测,是阻止此类攻击的关键。

 

即使对于不涉及任何类型的加密货币服务的金融机构,从用户面临的安全挑战中学习也很重要,尤其是在涉及加密钱包时。“数字美元”可能并不像我们想象的那么遥远,那些准备提供CBDC安全移动钱包的机构将具有显着的竞争优势。 


265
502
157
分享
收藏
金汇圈声明:

1. 此文由入驻金汇圈平台的作者撰写,观点仅代表作者本人,不代表金汇圈立场。

2. 仅供读者参考,并不构成投资建议。投资者据此操作,风险自担。

3. 请勿在该页面留下任何个人联络方式,勿轻信任何喊单操作。

赵相宾
关注 订阅他
  • 66

    帖子

  • 263

    订阅数

  • 247

    粉丝数

  • TA的帖子
风险提示
金砖圈子仅作为网友互动社区, 观点仅代表分析师本人观点,与平台无关!
投资有风险,本网站内容及公布的所有内容及数据,并不构成投资建议。投资者据此操作,风险自担。 同时提醒网友提高风险意识,请勿私下汇款给自媒体作者,避免造成金钱损失,风险自负。
信息提示

确认要删除这条内容吗?