6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,据分析,Atomic Wallet 被盗用户目前总损失约 3500 万美元。而 Web3 钱包作为打开 Web3 世界的钥匙,职责是安全地托管用户的加密货币资产,一旦钱包程序本身被黑客攻破,用户的加密货币资产将面临被盗的风险。
因此,慢雾安全团队从 Web3 钱包本身的职责出发,针对 Web 和浏览器扩展钱包推出 Web 前端安全指南;针对钱包密钥生命周期(生成,存储,使用,备份,销毁)的管理,提出最佳的安全实现方式;同时参考 OWASP MASVS(https://owasp.org/www-project-mobile-app-security/)国际标准,为 Web3 钱包客户端的安全制定相关的安全审计项。慢雾安全团队希望通过多年的一线安全攻防经验和优秀的国际标准,尽可能地保证 Web3 钱包客户端上的安全,降低加密货币资产被盗的风险。
同时,Web3 钱包作为 Web3 世界的钥匙,必然要和 Web3 中各种各样的 DApp 交互。在用户的交互过程中,钱包面临着很多安全挑战。黑客很擅长利用交互过程的设计缺陷骗取用户资产,如:利用 UI 劫持、欺骗用户签名;利用盲签名欺骗用户签名;利用 Permit 签名盗取用户的资产;利用 TransferFrom 零转欺骗用户进行钓鱼;采用尾号相同空头实施骗局;对 NFT 进行钓鱼等其它通用的钓鱼手法。针对用户交互过程和黑客常用钓鱼手法,慢雾安全团队独家提出了用户交互过程的安全审计,该审计项包含:WYSIWYS(所见即所签策略https://en.wikipedia.org/wiki/WYSIWYS);AML 策略;anti-phishing 策略;pre-execution 策略等多个策略来抵御黑客的攻击,降低用户被钓鱼的风险,保证加密货币资产的安全。
基于上述内容,慢雾安全团队针对 Web3 钱包安全审计服务全面升级安全审计项,具体如下:
浏览器扩展钱包安全审计 | |||
审计大类 | 审计子类 | 黑灰盒 | 白盒 |
签名转账安全 | 签名安全审计 | ✅ | ✅ |
充值/转账安全审计 | ✅ | ✅ | |
交易广播安全审计 | ✅ | ✅ | |
密钥安全 | 密钥生成安全审计 | ✅ | ✅ |
密钥存储安全审计 | ✅ | ✅ | |
密钥使用安全审计 | ✅ | ✅ | |
密钥备份安全审计 | ✅ | ✅ | |
密钥销毁安全审计 | ✅ | ✅ | |
随机数安全审计 | ❌ | ✅ | |
加密算法安全审计 | ❌ | ✅ | |
前端安全 | 跨站脚本安全审计 | ✅ | ✅ |
HTTP响应头安全审计 | ✅ | ✅ | |
组件安全 | 第三方依赖安全审计 | ❌ | ✅ |
通讯安全 | 通讯加密安全审计 | ✅ | ✅ |
跨域传输安全审计 | ✅ | ✅ | |
架构和业务安全 | 钱包锁定机制安全审计 | ✅ | ✅ |
业务设计安全审计 | ✅ | ✅ | |
技术架构设计安全审计 | ✅ | ✅ | |
拒绝服务安全审计 | ✅ | ✅ | |
用户交互安全 | 所见即所签策略 | ✅ | ✅ |
AML 策略 | ✅ | ✅ | |
防钓鱼策略 | ✅ | ✅ | |
预执行策略 | ✅ | ✅ | |
白名单地址策略 | ✅ | ✅ | |
密码复杂度策略 | ✅ | ✅ |
移动端/桌面端钱包安全审计 | |||
审计大类 | 审计子类 | 黑灰盒 | 白盒 |
运行环境安全 | 运行环境安全审计 | ✅ | ✅ |
源码安全 | 文件反编译安全审计 | ✅ | ✅ |
权限安全 | 访问控制策略安全审计 | ✅ | ✅ |
存储安全 | 数据文件存储安全审计 | ✅ | ✅ |
App 缓存安全审计 | ✅ | ✅ | |
SQLite 存储安全审计 | ✅ | ✅ | |
通讯安全 | 通讯加密安全审计 | ✅ | ✅ |
服务端接口安全 | 接口安全审计 | ✅ | ✅ |
业务安全 | 业务设计安全审计 | ✅ | ✅ |
浏览器安全 | WebKit 安全审计 | ✅ | ✅ |
WebView DOM 安全审计 | ✅ | ✅ | |
应用间交互安全 | Deeplinks 安全审计 | ✅ | ✅ |
认证安全 | 基于客户端的认证安全审计 | ✅ | ✅ |
签名转账安全 | 签名安全审计 | ✅ | ✅ |
充值/转账安全审计 | ✅ | ✅ | |
交易广播安全审计 | ✅ | ✅ | |
密钥安全 | 密钥生成安全审计 | ✅ | ✅ |
密钥存储安全审计 | ✅ | ✅ | |
密钥使用安全审计 | ✅ | ✅ | |
密钥备份安全审计 | ✅ | ✅ | |
密钥销毁安全审计 | ✅ | ✅ | |
随机数安全审计 | ❌ | ✅ | |
加密算法安全审计 | ❌ | ✅ | |
组件安全 | 第三方依赖安全审计 | ❌ | ✅ |
钱包运行时安全 | 截屏/录屏检测 | ✅ | ✅ |
复制粘贴检测 | ✅ | ✅ | |
键盘按键缓存检测 | ✅ | ✅ | |
后台模糊检测 | ✅ | ✅ | |
挂起唤起安全审计 | ✅ | ✅ | |
用户交互安全审计 | 所见即所签策略 | ✅ | ✅ |
AML 策略 | ✅ | ✅ | |
防钓鱼策略 | ✅ | ✅ | |
预执行策略 | ✅ | ✅ | |
白名单地址策略 | ✅ | ✅ | |
密码复杂度策略 | ✅ | ✅ |
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF