尽管市场波动,但随着新的加密货币、NFT 和代币的推出,加密钱包的采用率呈爆炸式增长。 对加密钱包应用程序的欺诈和攻击也有所增加,因此在本文中,我们将讨论一些针对加密钱包的攻击以及如何解决它们。
1.窃取加密钱包使用的本地存储的助记词或私钥
托管和非托管加密钱包,甚至 CEX 和 DEX 之间存在很多用户权衡。 您可能希望更好地控制您的密码或助记词或私钥。 从网络安全的角度来看,在托管钱包应用程序和非托管钱包应用程序之间进行选择所固有的风险是相同的——助记词或密钥存储在哪里,移动设备上的其他应用程序是否可以(或可以)访问这些密钥 . 应用程序沙箱或 SD 卡中、NSUserDefaults 等首选项区域或剪贴板等外部区域中的未加密数据使黑客能够为自己的恶意目的获取这些数据。 为了解决这个问题,我们通常建议使用静态数据加密,作为保护本地存储数据的一种方式,无论数据位于何处,即应用程序本身内部、偏好区域或剪贴板中。
2. 获取助记词或私钥
窃取助记符和加密钱包密钥的另一种方法是在用户将值输入加密钱包应用程序时动态地这样做。
从黑客的角度来看,可以通过三种方式实现这一目标:
(1) “越肩攻击”,基本上涉及坐在用户旁边,从字面上看他们在加密钱包应用程序中输入密码或密钥;
(2 ) 按键记录恶意软件,当用户在加密钱包应用程序中输入密码或密钥时,以数字方式记录用户的击键;
或 (3) 覆盖攻击,另一种形式的身份恶意软件,叠加屏幕(或使用 假屏幕)诱骗用户将密码或密钥输入加密钱包应用程序内的恶意屏幕或输入字段。
在我参与的案例中,部分带有机密信息的应用程序已暴露给黑客或欺诈者。 因此,防止屏幕共享、屏幕截图或屏幕录制非常重要。
3. 加密钱包应用程序的恶意检测
由于加密钱包应用程序中移动客户端和区块链之间的交易依赖性,用于运行加密客户端钱包应用程序的平台的完整性对于保护加密钱包用户极为重要。 例如,标准的越狱和 root 方法,以及强大的越狱和 root 隐藏工具,如 Liberty Lite 和 Magisk,可以单独使用或与恶意软件结合使用,以干扰、收集或监听应用程序与外部服务之间的事件。
甚至像 Frida 和 DBIs 这样的渗透测试工具,也可以用于检测、挂钩和调用加密应用程序中的功能,用于各种恶意目的,包括获取对客户端应用程序的区块链地址、密码、冒充客户端应用程序、 等等。加密钱包制造商可以阻止加密钱包应用程序在越狱或获得 root 权限的设备上运行。
阻止 Frida、阻止 Magisk 并防范动态黑客工具,所有这些都是为了保护用户并保证应用程序中关键功能的完整性。 最佳实践还建议应用程序的开发人员使用全面的代码混淆,让攻击者更难从一开始就研究应用程序。
我们很乐意帮助阻止针对加密钱包的网络攻击媒介!
在网络安全领域,一分预防胜于一分治疗。 我很乐意为您的安全项目提供帮助,并帮助您的加密钱包克服您面临的挑战。 让我向您展示如何保护您的移动应用免受威胁。
评论
0 条评论
文章评论已关闭。