数字资产钱包

数字资产钱包准备好被广泛应用了吗？普华永道中国数字资产钱包安全框架2018年12月概要数字资产钱包漏洞频现数字资产钱包是用来储存数字货币的钱包。区别于依赖银行近年来，随着数字资产市场规模的迅速增长，许多区块链分或手机移动端等第三方金融机构的电子钱包，数字资产钱包的布式App（DApp）被开发了出来，其中也包括了数字资产钱特点在于它是去中心化的，所有的数字资产交易都是点对点制包。然而数字资产钱包至今为止发生了多起安全事故，致使用的，过程中完全没有第三方机构的参与。户遭到财产损失。数字资产钱包分为以下两种。黑客会首先通过不同攻击手段去试探数字资产钱包的安全性能，其手段包括钓鱼、嗅探、CC攻击、DDOS、DNS劫持等。•冷钱包：冷钱包是指完全离线的钱包，常见的冷钱包包括一旦黑客发现了数字资产钱包的漏洞，他们就会针对这些漏纸钱包、脑钱包和硬件钱包。洞对数字资产钱包实施攻击入侵。若被攻击方的应急措施不到位，黑客可能连续发起长达数小时的攻击从而使数字资产•热钱包：热钱包就是在线钱包，一般指网页钱包、手机钱包的功能瘫痪，并直接窃取数字资产，失窃价值最高可达数App钱包和浏览器插件钱包等。由于热钱包是在线钱亿美元。若黑客无法直接窃取用户的数字资产，黑客也会选择包，所以相对于冷钱包更容易受到攻击。调取用户的个人信息以进行后续违法行动，例如给一些持有高资产的用户发送“钓鱼邮件”，而这一切的源头都是数字资产钱包的安全漏洞。数字资产钱包安全隐患日趋凸显。普华永道中国谈数字资产钱包安全普华永道中国作为安全领域的专家一直以来特别关注区块链领域的安全问题，经过长期的经验积累和研究 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf ，我们认为数字资产钱包安全可以分为以下三大类：App安全、服务端安全和业务安全。数字资产钱包安全App安全服务端安全业务安全App安全私钥安全Keystore客户端助记词安全本地数据密码安全安全自身安全存储安全数字资产钱包，区别于传统钱包，是一款基于区块链技术的钱包。数字资产钱包没有一个完全中心化的服务器，所以钱包本身的安全性就显得尤为重要。我们将App安全归纳为以下六个方面，分别是私钥安全、助记词安全、密码安全、Keystore安全、本地数据存储安全和客户端自身安全。私钥安全Keystore安全私钥是整个钱包的核心，也是最为敏感的数据，一旦Keystore本身是一串加密的字符，仅Keystore的泄露私钥泄露，用户将面临被攻击者盗取数字资产的风也无法对用户的钱包构成威胁，但是正如上文“密码险。同时，涉及钱包私钥的环节非常复杂，任何薄弱环安全”所述，交易密码若和Keystore文件同时泄露，节都可能被攻击者利用，导致私钥的泄露。所以私钥将使得攻击者直接恢复钱包。所以要在一定程度上保安全是钱包安全的重中之重。证好Keystore的安全。助记词安全客户端自身安全助记词是恢复钱包的重要凭证，攻击者仅需掌握助目前，主流的数字资产钱包大多都有Android和iOS记词就能窃取用户钱包，因此助记词安全与私钥安两个版本移动客户端，我们认为数字资产钱包的安全全同样重要。但是，和私钥不同的是助记词还需要通一定要考虑移动客户端自身的安全性。过用户进行操作，一旦操作不当就可能导致助记词的泄露。本地数据存储安全在本地存储数据时，是否会将敏感信息保存在本地，密码安全以及是否会对信息进行加密存储。区块链上的交易必虽然密码安全在数字资产钱包的安全等级低于私钥须要保证匿名性，如果一些涉及用户身份的信息保存和助记词的安全等级，但是密码也属于用户的敏感数在本地，一旦被攻击者窃取，容易被攻击者对其进行据，密码泄露有可能会使得攻击者进行撞库攻击，使逆向 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 ，最终可能导致交易被透明。用社会 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 学破解用户其他系统的账户；其次一旦交易密码和Keystore同时泄露，将使得攻击者直接恢复用户钱包。交易密码和Keystore同时泄露等于助记词的泄露，虽然发生的概率很低，但还是要尽最大的努力将风险系数降到最低以保证用户资产的安全。服务端安全输入安全配置安全网络传输安全网络架构安全目前，数字资产钱包种类众多，但许多钱包并不是完全的去中心化，而采用的是一些相对中心化的存储架构，比如，采用MasterNode的通信形式，或采用一些中心化的服务器去实现非转账功能。所以普华永道中国认为一定要将一些传统安全纳入到数字资产钱包的安全评估中，主要有以下四个方面：输入安全网络传输安全现如今频发的区块链安全事件中，很多都是由传统安如果在网络数据传输的层面出现安全问题，可能会引全漏洞为触发点再向外延伸的，所以数字资产安全和发中间人攻击（MITM），导致DNS劫持，流量被攻击传统安全密不可分。事实上很有可能由于一个特殊字者劫持，从而导致用户的敏感信息被外泄并对用户造符没有过滤，而导致整台服务器被黑客入侵，所以输成潜在的资金财产损失（私钥、助记词等）。入安全作为传统web安全的一种，绝对不容忽视，因为它早已成为众多黑客青睐的对象。网络架构安全网络架构主要包括网络设备策略和网络拓扑两方面，配置安全考虑网络架构安全可以帮助我们对钱包网络结构现在所有的安全问题中，由于配置问题触发概率低以及状进行有效的梳理，分析整个网络的设备配置、资源造成的直接影响也相对比较小，所以往往最容易被人分布、架构 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 ，从而准确的把握网络中存在的安全们所忽略。但在这些年频发的安全事件中，曾经发生隐患。过由于一个服务器配置漏洞被攻击者利用，接着层层渗透至企业内网，最终成功窃取企业内部敏感数据，对企业造成不可磨灭的损失。所以数字资产钱包的安全不能忽略任何微小的细节。业务安全业务逻辑安全功能设计缺陷应用系统中经常存在着业务安全问题，往往一旦发生就可能会造成资金财产的损失。这其中包含了两个方面，一种是由于系统自身设计时的缺陷导致的；另一种是由于业务逻辑处理不当，导致原本的功能被绕过。业务逻辑安全功能设计缺陷业务逻辑的安全是每一个领域都关注的安全重点，如果数字资产钱包软件在设计时就存在一些功能设计在区块链行业当然也不例外。在普通用户所看到的正缺陷，那就必然会危害到用户的权益，甚至导致用户常的业务流程，其背后可能隐藏着一个重大的逻辑漏财产受到损失。钱包软件在设计时也应该全面考虑如洞，一旦被黑客利用，将可能导致用户蒙受损失。何保障用户的钱包安全，比如在每次打开软件时索要登录密码等简单的措施都可以进一步的保障用户的钱包安全。普华永道中国数字资产钱包安全评分体系我们凭借多年在区块链行业的经验积累和沉淀，针对数字资产钱包的安全评估，已经建立了一套成熟完善的数字资产钱包安全评分体系，对一款数字资产钱包进行客观地评分，可以让用户更直观地了解钱包的安全性。私钥安全•私钥生成过程安全App安全助记词安全•私钥存储安全本地数据储存安全•助记词存储安全Keystore安全•助记词传输过程安全客户端自身安全•交易密码输入过程安全密码安全⋯服务端输入安全•SQL注入配置安全敏感信息明文传输安全•网络传输安全•源代码泄露网络架构安全•加密算法安全性•传输 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 安全性•信息泄露⋯业务业务逻辑安全•验证系统漏洞功能设计缺陷远程端点验证漏洞安全••导出功能设计缺陷•密码设计缺陷•安全提示设计缺陷⋯后续普华永道中国已经根据我们专有的数字资产钱包安全评分体系测试了市场上主流数字资产钱包的安全性，并给出评分；并且我们还自主研发了一套数字资产钱包安全测试工具，在后续的文章中也将给大家做更加详细的介绍。联系我们我们的团队拥有丰富的数字资产钱包安全评估经验，可以为组织提供专业的数字资产安全评估服务。网络安全和隐私保护联系人韦坚信(AndrewWatkins)普华永道中国内地及香港首席科技与颠覆技术官+85222892716andrew.watkins@hk.pwc.comLinkedin中国北区中国中区中国南区（包括香港）冼嘉乐张俊贤黄景深普华永道中国风险及控制服务合伙人普华永道中国风险及控制服务合伙人普华永道中国网络安全和隐私保护，风险及控制服务主管合伙人+86(10)65332937+86(21)23233927samuel.sinn@cn.pwc.comchun.yin.cheung@cn.pwc.com+86(21)23233927LinkedinLinkedinkenneth.ks.wong@hk.pwc.comLinkedin李睿莫威廉(RameshMoosa)颜国定普华永道中国网络安全和隐私保护合伙人普华永道中国网络安全和隐私保护，普华永道中国网络安全和隐私保护合伙人咨询服务主管合伙人+86(10)65332312+85222891935lisa.ra.li@cn.pwc.com+86(21)23238688kok.t.gan@hk.pwc.comramesh.moosa@cn.pwc.comLinkedinLinkedin关于我们普华永道中国网络安全及隐私服务团队凭借其数十年跨行业、地域、技术的实践经验和知识储备，为客户提供端到端组合服务。主要项目包括开展战略性评估、设计、开发和改良网络安全计划等多方面。与此同时，我们与众多企业的相关负责人保持着长期的互信合作关系。我们的业务可以帮助您开阔网络安全领域的视野,让您大胆地探索更多可能性。我们将会为您在人才、流程和技术等方面做足准备，应对未来挑战。©2018普华永道商务咨询（上海）有限公司。版权所有。普华永道系指普华永道网络及/或普华永道网络中各自独立的成员机构。详情请进入www.pwc.com/structure。