文章来源:
angula
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至2384272385@qq.com举报,一经查实,本站将立刻删除。
去中心化钱包被偷了还能找回吗(钱包里的钱被偷了怎么办)
0
最近,一位之前一直在寻找它的用户在边肖向我们提出了一个问题。相信这也是很多币圈朋友经常疑惑的问题:去中心化的钱包如果被偷了还能找回吗?钱包里的钱被偷了怎么办?带着这个问题,让专业的边肖告诉你原因。。
被盗的TP钱包可以';不被网警追查[XY002][XY001]如果尽快换其他钱包资金,估计有泄露风险。然后联系官方tp钱包,警告别人,有漏洞就去修复,否则以后还会出现这样的问题。
使用去中心化钱包时,最重要的是保管好自己的私钥(助记符)。没有这个东西,很难偷到。唐';t截图放相册或者微信收藏、备忘录里。最好用笔写下来,自己收起来。还有,一定要注意下载的钱包!唐';不要下载假钱包,有的下载的时候可能会带插件,一登录就不知不觉的转给你了。
虚拟币是指非真实的货币。目前,知名的虚拟货币主要有比特币、以太坊和TEDA币。
虚拟货币交易存在很多风险问题,比如投资者';投资风险。
此外,虚拟货币之前缺乏监管,造成了很多不良的社会影响。由于缺乏监督此外,其交易具有匿名性、不可见性和难以追踪性,因此网络虚拟货币方案很容易被恐怖活动、诈骗、洗钱等非法活动所利用。
为了加强对虚拟货币的管理,国家陆续出台了相关通知和规定:
1。2009年6月28日,文化部和商务部联合发布《关于加强网络游戏虚拟货币管理工作的通知》号文,明确虚拟货币采取网络游戏预付充值卡、预付金额或积分的形式。,但不包括在游戏活动中获得的游戏道具;虚拟货币不得用于支付、购买实物或交换其他企业的任何产品和服务。
2。2017年9月4日,央行等七部委发布了"94班"。要求立即停止各类代币发行和融资活动。如果代币发行和融资已经完成,将安排还款。
3。2021年5月18日晚。中国互联网金融协会、中国银行业协会、中国支付清算协会联合发布《关于防范虚拟货币交易炒作风险的公告》。公告明确表示,上述条款内容为机构不得开展虚拟货币相关业务,同时提醒消费者提高风险防范意识。谨防财产和权利的损失。
4。2021年9月,人民';s中国银行等十部门发行《关于进一步防范和处置虚拟货币交易炒作风险的通知》。明确虚拟货币没有法定货币地位,禁止金融机构发展和参与虚拟货币相关业务。,清理取缔国内虚拟货币交易和代币发行融资平台,继续开展风险提示和金融消费者教育,取得积极成效。
整体来看,按照目前国家对虚拟货币的政策,警察是没有可能拿回来的。。相关虚拟货币活动造成的损失自行承担。
近年来,数字钱包安全事件频发。
2019年11月19日,ArsTechnica报道,两个加密货币钱包的数据泄露,220万账户信息被盗。。安全研究员特洛伊亨特(TroyHunt)证实,被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。
这已经不是Gatehub第一次遭遇数据泄露了。据报道去年6月,黑客入侵了大约100个XRP账本,导致近1000万美元被盗。
2019年3月29日,比瑟姆布失窃案引起轩然大波。据推测这件事的起因是因为Bithumb拥有的g4ydomrxhege账号的私钥被黑客窃取。
随即,黑客将盗取的资金分散到各个交易所,包括火币、HitBTC、WB、EXmo等。根据非官方数据和用户估计比瑟姆遭受了高达300万EOS币(约1300万美元)和2000万XRP币(约600万美元)的损失。
由于数字货币的匿名性和去中心化,一定程度上难以追回被盗资产。因此钱包的安全性很重要。2020年8月9日CertiK'的安全工程师在DEFCON区块链安全大会上发表主题演讲:利用不安全的加密钱包。,分享对加密钱包安全性的见解。
Encryptedwallet是一款帮助用户管理账户和简化交易流程的应用程序。
一些区块链项目发布加密钱包应用程序以支持该链的开发——,如CertiK链的Deepwallet。
另外还有Shapeshift这样的公司。,它构建支持不同区块链协议的钱包。
从安全性的角度来看,加密钱包最重要的问题是防止攻击者窃取用户的助记符和私钥';钱包。
过去一年,CertiK技术团队对几款加密钱包进行了测试和研究,分享了基于软件对不同类型加密钱包进行安全评估的方法和流程。
加密钱包的基本审计列表
应该评估一个应用程序。首先需要了解它的工作原理代码实现是否遵循最佳安全标准安全性不足的部分如何纠正和改进。
CertiK技术团队制定了一份加密钱包的基本审计清单。这个列表反映了所有形式的加密钱包应用(手机、web、扩展、桌面),尤其是手机和web钱包,是如何产生和存储用户的';私钥。
应用程序如何生成私钥?
应用程序如何以及在哪里存储原始信息和私钥?
钱包是否连接到受信任的区块链节点?
应用程序是否允许用户配置自定义区块链节点?如果允许的话,恶意区块链节点会对应用产生什么影响?
应用程序是否连接到中央服务器?如果是,客户端应用程序将向服务器发送什么信息?
应用程序是否要求用户设置高安全性密码?
当用户试图访问敏感信息或转账时,应用程序是否需要二次身份认证?
应用程序是否使用了易受攻击的第三方库?
有没有什么秘密(比如API密匙),AWS凭据)在源代码库中泄露?
程序源代码中是否存在明显的不良代码实现(比如对密码学的误解)?
应用服务器是否强制TLS连接?
手机钱包
与笔记本电脑相比,手机等移动设备更容易丢失或被盗。
在分析针对移动设备的威胁时,需要考虑攻击者可以直接访问用户设备。
在评估期间,如果攻击者获得用户的访问权';的设备,,或者用户设备感染了恶意软件,我们需要尝试识别对帐户和密码资产造成损害的潜在问题。
除了基本列表之外,在评估移动钱包时还应添加以下审核类别:
应用156是否警告用户不要截屏敏感数据699137803354安卓应用在显示敏感数据时会阻止用户截屏吗?iOS应用是否警告用户不要截图敏感数据?
应用在后台截图中是否泄露敏感信息?
应用程序是否检测设备是否越狱/root?
应用是否锁定后台服务器的证书?
应用程序是否记录程序中的敏感信息';s日志?
应用程序是否包含错误配置的deeplink和intent,它们是否会被利用?
应用包是否混淆了代码?
应用是否实现了反调试的功能?
应用程序是否检查应用程序重新打包?
(iOS)iOS钥匙串中存储的数据是否有足够的安全属性?
应用程序是否受到钥匙链数据持久性的影响?
当用户输入敏感信息时,应用程序是否禁用自定义键盘?
应用程序是否安全地使用"webview"要加载外部网站?
Web钱包
对于一个完全去中心化的钱包来说,Web应用正逐渐成为一个不太受欢迎的选择。MyCrypto不允许用户在web应用程序中使用密钥库/助记符/私钥访问钱包。MyEtherWallet也建议用户不要这样做。
相对于运行在其他三个平台上的钱包,以web应用的形式对钱包进行钓鱼攻击相对更容易;如果攻击者入侵web服务器他可以轻而易举地偷走用户';通过将恶意JavaScript注入网页来获取钱包信息。
然而,一个安全构建且经过全面测试的网络钱包仍然是用户管理其加密资产的最佳选择。
除了以上通用的基本审计类别,我们在评估客户端webwallet时,还列出了以下需要审计的类别:
应用中是否存在跨站脚本XSS漏洞?
应用是否存在点击劫持漏洞?
应用程序是否具有有效的内容安全策略?
应用程序中是否存在开放重定向漏洞?
应用中是否存在HTML注入漏洞?
目前在web钱包中使用Cookie的很少,但是如果有,要检查:
Cookie属性
跨站请求伪造(CSRF)
跨域资源共享(CORS)配置错误
。除了基本的钱包功能之外,应用程序是否还包括其他功能?这些函数有没有漏洞可以利用?
上面没有提到的OWASP前10大漏洞。
扩展钱包
metamask是最著名也是最常用的加密钱包之一,以浏览器扩展的形式出现。
扩展钱包的内部工作方式与web应用程序非常相似。
不同的是,它包含独特的组件,称为内容脚本和后台脚本。
网站通过内容脚本和后台脚本传递事件或消息,与扩展页面进行通信。
在扩展钱包评估期间最重要的事情之一是测试恶意网站是否可以在没有用户的情况下读取或写入属于扩展钱包的数据';的同意。
除了基本列表之外,在评估扩展wallet时还应添加以下审计类别:
扩展需要什么权限?
扩展应用如何决定允许哪个网站与扩展钱包通信?
扩展钱包如何与网页交互?
恶意网站能否通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面?
恶意网站可以在没有用户的情况下读取或修改属于该扩展的数据吗';s的同意?
扩展钱包是否存在点击劫持漏洞?
扩展钱包(通常是后台脚本)在处理消息之前是否检查了消息的来源?
应用程序是否实施了有效的内容安全策略?电子桌面钱包
写完了web应用的代码,为什么不用这段代码在电子里构建一个桌面应用呢?
过去测试的桌面钱包,大约80%是基于电子框架的。。在测试基于电子的桌面应用程序时,我们不仅要寻找web应用程序中可能存在的漏洞,还要检查电子配置是否安全。
CertiK分析了Electron'的桌面应用程序。详情可以点击访问这篇文章。以下是评估基于电子的桌面钱包时要添加的审计类别:
应用程序使用哪个版本的电子设备?
应用程序是否加载远程内容?
应用程序是否禁用"节点集成"和"enableRemoteModule"?
IstheapplicationenabledwithContextIsolation,SandboxandwebSecurityoptions?
应用程序是否允许用户从当前钱包页面跳转到同一窗口中的任何外部页面?
应用程序是否实施了有效的内容安全策略?
预加载脚本是否包含可能被滥用的代码?
应用程序是否将用户输入直接传递给危险的函数(例如"打开外部")?
应用程序是否制定了不安全的自定义协议?
服务器端漏洞检查列表
我们测试过的加密钱包应用中,超过一半没有集中式服务器,它们直接与区块链节点相连。
CertiK技术团队认为这是一种减少攻击面和保护用户的方法';隐私。
但是如果应用程序希望为客户提供比帐户管理和令牌传输更多的功能,它可能需要一个带有数据库和服务器端代码的集中式服务器。
服务器端组件要测试的项目高度依赖于应用程序特性。
根据调研和与客户接触中发现的服务器端漏洞,我们整理了以下漏洞清单。当然,它并不包含所有可能的服务器端漏洞。
认证和授权
KYC及其效力
竞赛条件
云服务器配置错误
Web服务器配置错误
不安全直接对象引用(IDOR)
服务器请求伪造(SSRF)
任何类型的注入(SQL,command,template)漏洞
任意文件读/写
业务逻辑错误
速率限制
总结
随着技术的发展,黑客实施的诈骗和攻击手段越来越多样化。
CertiK安全技术团队希望通过分享加密钱包的隐患,让用户更多了解数字货币钱包的安全问题,提高警惕。
现阶段很多开发团队对安全的重视程度远远低于对业务的重视程度,没有对自己的钱包产品做足够的安全防护。通过分享加密钱包的安全审计类别,CertiK希望加密钱包项目各方对产品安全标准有一个清晰的理解。从而推动产品安全升级,共同保护用户资产安全。
数字货币攻击是一种多技术维度的综合攻击,需要考虑数字货币中管理和流通过程中涉及的所有应用安全,包括计算机硬件和区块链软件。、钱包等区块链服务软件、智能合约等。
加密钱包需要注意对潜在攻击的检测和监控,避免多次被同样的方式攻击,加强数字货币账户的安全保护手段。,使用物理加密离线冷存储(coldstorage)保存重要数字货币。此外,还需要聘请专业的安全团队在网络层面进行测试,通过远程模拟攻击来发现漏洞。
近年来,数字钱包安全事件频发。
2019年11月19日,ArsTechnica报道,两个加密货币钱包的数据泄露,220万账户信息被盗。安全研究员特洛伊亨特证实被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。
这已经不是Gatehub第一次遭遇数据泄露了。据报道,去年6月黑客入侵了大约100个XRP账本钱包,导致近1000万美元被盗。
2019年3月29日,比瑟姆布失窃案引起轩然大波。据推测这件事的起因是因为Bithumb拥有的g4ydomrxhege账号的私钥被黑客窃取。
随即,黑客将盗取的资金分散到各个交易所,包括火币、HitBTC、WB、EXmo等。根据非官方数据和用户估计比瑟姆遭受了高达300万EOS币(约1300万美元)和2000万XRP币(约600万美元)的损失。
由于数字货币的匿名性和去中心化,一定程度上难以追回被盗资产。因此钱包的安全性很重要。2020年8月9日CertiK'的安全工程师在DEFCON区块链安全大会上发表主题演讲:利用不安全的加密钱包。,分享对加密钱包安全性的见解。
Encryptedwallet是一款帮助用户管理账户和简化交易流程的应用程序。
一些区块链项目发布加密钱包应用程序以支持该链的开发——,如CertiK链的Deepwallet。
另外还有Shapeshift这样的公司。,它构建支持不同区块链协议的钱包。
从安全性的角度来看,加密钱包最重要的问题是防止攻击者窃取用户的助记符和私钥';钱包。
过去一年,CertiK技术团队对几款加密钱包进行了测试和研究,分享了基于软件对不同类型加密钱包进行安全评估的方法和流程。
加密钱包的基本审计列表
应该评估一个应用程序。首先需要了解它的工作原理代码实现是否遵循最佳安全标准安全性不足的部分如何纠正和改进。
CertiK技术团队制定了一份加密钱包的基本审计清单。这个列表反映了所有形式的加密钱包应用(手机、web、扩展、桌面),尤其是手机和web钱包,是如何产生和存储用户的';私钥。
应用程序如何生成私钥?
应用程序如何以及在哪里存储原始信息和私钥?
钱包是否连接到受信任的区块链节点?
应用程序是否允许用户配置自定义区块链节点?如果允许的话,恶意区块链节点会对应用产生什么影响?
应用程序是否连接到中央服务器?如果是,客户端应用程序将向服务器发送什么信息?
应用程序是否要求用户设置高安全性密码?
当用户试图访问敏感信息或转账时,应用程序是否需要二次身份认证?
应用程序是否使用了易受攻击的第三方库?
有没有什么秘密(比如API密匙),AWS凭据)在源代码库中泄露?
程序源代码中是否存在明显的不良代码实现(比如对密码学的误解)?
应用服务器是否强制TLS连接?
手机钱包
与笔记本电脑相比,手机等移动设备更容易丢失或被盗。
在分析针对移动设备的威胁时,需要考虑攻击者可以直接访问用户设备。
在评估期间,如果攻击者获得用户的访问权';的设备,,或者用户设备感染了恶意软件,我们需要尝试识别对帐户和密码资产造成损害的潜在问题。
除了基本列表之外,在评估移动钱包时还应添加以下审核类别:
应用是否警告用户不要截图敏感数据?——安卓应用在显示敏感数据时是否会阻止用户截图?iOS应用是否警告用户不要截图敏感数据?
应用在后台截图中是否泄露敏感信息?
应用程序是否检测设备是否越狱/root?
应用是否锁定后台服务器的证书?
应用程序是否记录程序中的敏感信息';s日志?
应用程序是否包含错误配置的deeplink和intent,它们是否会被利用?
应用包是否混淆了代码?
应用是否实现了反调试的功能?
应用程序是否检查应用程序重新打包?
(iOS)iOS钥匙串中存储的数据是否有足够的安全属性?
应用程序是否受到钥匙链数据持久性的影响?
当用户输入敏感信息时,应用程序是否禁用自定义键盘?
应用程序是否安全地使用"webview"要加载外部网站?
网络钱包
对于完全去中心化的钱包,Web应用程序正成为一个不太受欢迎的选择。MyCrypto不允许用户在web应用中使用keystore/助记符/私钥访问钱包,MyEtherWallet也建议用户不要这样做。
相对于其他三个平台上运行的钱包,以web应用的形式对钱包进行钓鱼攻击相对更容易;如果攻击者入侵web服务器,他可以将恶意的JavaScript注入到网页中。,轻松抢走用户';的钱包信息。
然而,一个安全构建并经过全面测试的网络钱包仍然是用户管理其加密资产的最佳选择。
除了上述通用的基本审计类别,当我们评估客户端webwallet时,,并列出了以下要审核的类别:
应用程序中是否存在跨站点脚本XSS漏洞?
应用是否存在点击劫持漏洞?
应用程序是否具有有效的内容安全策略?
应用程序中是否存在开放重定向漏洞?
应用中是否存在HTML注入漏洞?
目前在web钱包中使用Cookie的很少,但是如果有,要检查:
Cookie属性
跨站请求伪造(CSRF)
跨域资源共享(CORS)配置错误
。除了基本的钱包功能之外,应用程序是否还包括其他功能?这些函数有没有漏洞可以利用?
上面没有提到的OWASP前10大漏洞。
扩展钱包
metamask是最著名也是最常用的加密钱包之一,以浏览器扩展的形式出现。
扩展钱包的内部工作方式与web应用程序非常相似。
不同的是,它包含独特的组件,称为内容脚本和后台脚本。
网站通过内容脚本和后台脚本传递事件或消息,与扩展页面进行通信。
在扩展钱包评估期间最重要的事情之一是测试恶意网站是否可以在没有用户的情况下读取或写入属于扩展钱包的数据';的同意。
除了基本列表之外,在评估扩展wallet时还应添加以下审计类别:
扩展需要什么权限?
扩展应用如何决定允许哪个网站与扩展钱包通信?
扩展钱包如何与网页交互?
恶意网站能否通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面?
恶意网站可以在没有用户的情况下读取或修改属于该扩展的数据吗';s的同意?
扩展钱包是否存在点击劫持漏洞?
扩展钱包(通常是后台脚本)在处理消息之前是否检查了消息的来源?
应用程序是否实施了有效的内容安全策略?电子桌面钱包
写完了web应用的代码,为什么不用这段代码在电子里构建一个桌面应用呢?
过去测试的桌面钱包,大约80%是基于电子框架的。。在测试基于电子的桌面应用程序时,我们不仅要寻找web应用程序中可能存在的漏洞,还要检查电子配置是否安全。
CertiK分析了Electron'的桌面应用程序。详情可以点击访问这篇文章。以下是评估基于电子的桌面钱包时要添加的审计类别:
应用程序使用哪个版本的电子设备?
应用程序是否加载远程内容?
应用程序是否禁用"节点集成"和"enableRemoteModule"?
IstheapplicationenabledwithContextIsolation,SandboxandwebSecurityoptions?
应用程序是否允许用户从当前钱包页面跳转到同一窗口中的任何外部页面?
应用程序是否实施了有效的内容安全策略?
预加载脚本是否包含可能被滥用的代码?
应用程序是否将用户输入直接传递给危险的函数(例如"打开外部")?
应用程序是否制定了不安全的自定义协议?
服务器端漏洞检查列表
我们测试过的加密钱包应用中,超过一半没有集中式服务器,它们直接与区块链节点相连。
CertiK技术团队认为这是一种减少攻击面和保护用户的方法';隐私。
但是如果应用程序希望为客户提供比帐户管理和令牌传输更多的功能,它可能需要一个带有数据库和服务器端代码的集中式服务器。
服务器端组件要测试的项目高度依赖于应用程序特性。
根据调研和与客户接触中发现的服务器端漏洞,我们整理了以下漏洞清单。当然,它并不包含所有可能的服务器端漏洞。
认证和授权
KYC及其效力
竞赛条件
云服务器配置错误
Web服务器配置错误
不安全直接对象引用(IDOR)
服务器请求伪造(SSRF)
任何类型的注入(SQL,command,template)漏洞
任意文件读/写
业务逻辑错误
速率限制
总结
随着技术的发展,黑客实施的诈骗和攻击手段越来越多样化。
CertiK安全技术团队希望通过分享加密钱包的隐患,让用户更多了解数字货币钱包的安全问题,提高警惕。
现阶段很多开发团队对安全的重视程度远远低于对业务的重视程度,没有对自己的钱包产品做足够的安全防护。通过分享加密钱包的安全审计类别,CertiK希望加密钱包项目各方对产品安全标准有一个清晰的理解。从而推动产品安全升级,共同保护用户资产安全。
数字货币攻击是一种多技术维度的综合攻击,需要考虑数字货币中管理和流通过程中涉及的所有应用安全,包括计算机硬件和区块链软件。、钱包等区块链服务软件、智能合约等。
加密钱包需要注意对潜在攻击的检测和监控,避免多次被同样的方式攻击,加强数字货币账户的安全保护手段。,使用物理加密离线冷存储(coldstorage)保存重要数字货币。此外,还需要聘请专业的安全团队在网络层面进行测试,通过远程模拟攻击来发现漏洞。
首先,建议报警,只要不是在国外。大量报警基本可以追回,抓到那个人。
火币钱包是一款去中心化的多链轻钱包,基于火币集团在区块链领域全面的安全专业知识和技术开发。火币钱包提供数字资产管理(DAM)服务。它支持1000多种加密货币,包括BTC、ETH、EOS和所有ERC-20代币。。除了默认显示的八种货币,如BTC、瑞士法郎、EOS、TRX、USDT等。用户可以添加自己的货币。用户持有自己的私钥,不依附于任何第三方管理。在钱包管理中备份助记符、导出私钥和管理资产安全。用户也可以按照个人喜好。,修改钱包名称,隐藏钱包等设置。
扩展信息:
现在人们网上省钱的方法
1。硬件冷钱包
硬件冷钱包是一种不联网的硬件钱包,被认为是目前最安全的保存方式。
2。手机钱包/网络钱包
手机钱包和网络钱包都属于热门钱包。唐';不要以为有几把私钥就万事大吉了,联网的那一刻就不安全了。特别是很多人手机上都带着钱包。而每天到处乱注册的人,一旦被黑客盯上,比如楼上的鲸鱼用户被黑客盯上,钱包就是黑客';美国自动取款机。
3。去集中交易所
很多人觉得去集中交易所很安全,所以不要';不要被误导。。第一代去中心化交易所,用户仍然需要完成充值和提现(伪去中心化)。比如基于以太坊链的去中心化交易所EtherDelta也跑了。第二代去中心化交易所实际上是把钱放在他们的钱包里。所以本质也属于热钱包的范畴。而且不管兑换码有没有安全漏洞,热钱包都要随时联网。当然也有可能是人为事件,比如FCoin员工生气删了兑换码跑路。因此,集中交易受到了许多人的批评。被认为是目前最不安全的地方。原因是很多兑换跑了,被偷了。比如刚刚发生的FCoin交换,著名的"门头沟"事情发生在2014年。门头沟在85万比特币被盗后申请破产。到2013年,世界上的交易所并不多,所以门头沟成为当时最大的交易所,竞争对手也不多。2013年,火币和OK成立后不久,中国成为全球比特币交易中心。那时候门头沟已经走下坡路了。到2014年破产的时候,已经没落了。后来网上曝出门头沟网站技术非常落后。所以网上的货币交易或者存储一定要谨慎。
经过上面的分享介绍,去中心化钱包被盗还能找回吗?如果钱包里的钱被偷了,我相信你已经大致了解该怎么做了。想多了解一下去中心化的钱包能不能追回来?我们将继续与您分享!
