2024數(shù)字錢包安全開發(fā)與應(yīng)用實(shí)踐

數(shù)字錢包安全開發(fā)與應(yīng)用實(shí)踐PAGEPAGE10目錄TOC\o"1-2"\h\z\u數(shù)字貨幣錢包分類使用場(chǎng)景 6數(shù)字錢包安全風(fēng)險(xiǎn)分析 8數(shù)字錢包使用過程安全分析 9數(shù)字錢包開發(fā)&應(yīng)用技術(shù)安全分析 10數(shù)字錢包安全案例分析 13數(shù)字錢包安全事件回溯 13用戶安全使用引導(dǎo) 13數(shù)字錢包安全設(shè)計(jì) 14數(shù)字錢包安全設(shè)計(jì)應(yīng)用實(shí)踐 15無私鑰錢包用戶需求分析 15企業(yè)級(jí)數(shù)字資產(chǎn)錢包需求分析 205.數(shù)字錢包安全測(cè)試標(biāo)準(zhǔn) 25數(shù)字貨幣錢包分類使用場(chǎng)景（公鑰擁有的數(shù)字貨幣資產(chǎn)轉(zhuǎn)賬給他人。從私鑰存儲(chǔ)方式、存儲(chǔ)數(shù)據(jù)量和使用主體三個(gè)維度將錢包進(jìn)行分類介紹：按照私鑰存儲(chǔ)方式分類，可以將錢包分類冷錢包和熱錢包兩大類。冷錢包：是指使用時(shí)不需私鑰接觸網(wǎng)絡(luò)的錢包，網(wǎng)絡(luò)無法訪問私鑰，比如專業(yè)的硬件設(shè)備，也稱硬件錢包或離線錢包，一般通過USB接口、藍(lán)牙、二維碼等方式完成私鑰簽名。人監(jiān)管。般新的小幣種不支持；存在硬件丟失或損壞的物理安全風(fēng)險(xiǎn)。景。熱錢包：APP也稱在線錢包。優(yōu)點(diǎn)：創(chuàng)建錢包和交易均簡單，使用方便，轉(zhuǎn)賬效率高。破解。（戶端錢包，瀏覽器錢包，網(wǎng)頁版錢包）。按照數(shù)字貨幣是否中心化管理分類，可以將錢包分為去中心化錢包和中心化錢包,按照存儲(chǔ)區(qū)塊鏈數(shù)據(jù)方式，去中心化錢包又分為全節(jié)點(diǎn)錢包（重錢包）和輕錢包。全節(jié)點(diǎn)錢包：是指需要同步所有區(qū)塊鏈數(shù)據(jù)的錢包。優(yōu)點(diǎn)：可以實(shí)現(xiàn)去中心化，更好的隱私性；可以在本地驗(yàn)證交易數(shù)據(jù)的有效性。用戶體驗(yàn)欠佳。適宜人群：企業(yè)、專業(yè)人士主要代表功能簡單，用戶體驗(yàn)好。缺點(diǎn)：實(shí)現(xiàn)去中心化不足，交易驗(yàn)證相對(duì)較慢。適宜人群：個(gè)人、小白用戶主要代表中心化錢包，是指不依賴區(qū)塊鏈網(wǎng)絡(luò)，所有的數(shù)據(jù)均從自己的中心化服務(wù)器中獲得，也稱鏈下錢包。（密碼高，可以實(shí)時(shí)到賬，可以支持多幣種；錢包被盜，大型交易所一般會(huì)給予等值賠償。目標(biāo)。適宜人群：炒幣群體，需要頻繁交易主要代表。按照錢包的表現(xiàn)形態(tài)分類，分為：網(wǎng)頁錢包、瀏覽器插件錢包、PC端錢包、硬件錢包、手機(jī)app錢包。網(wǎng)頁錢包：網(wǎng)頁形式發(fā)布的錢包程序，無需安裝，打開即可使用、跨平臺(tái)，有瀏覽器的設(shè)備即可。瀏覽器插件錢包:以瀏覽器插件的形式存在，比如chrome瀏覽器的Metamask錢包插件。PC指電腦終端的數(shù)字貨幣錢包，可以通過這個(gè)終端進(jìn)行操作，不便捷。硬件錢包：100%管手段，這是最安全的儲(chǔ)存手段之一。APPAPP輕錢包,也是大家用的比較多的，相對(duì)于網(wǎng)不聯(lián)網(wǎng)的手機(jī)生成冷錢包，聯(lián)網(wǎng)手機(jī)僅用于查看錢包。APP錢包出現(xiàn)一種基于智能合約的錢包，用戶可以控制私鑰和資產(chǎn)，但是利用智能合約可以增加一些基于區(qū)塊鏈的功能，比如MYKEY、Argent、GnosisSafe、Authereum數(shù)字錢包安全風(fēng)險(xiǎn)分析2019年1月黑客利用Electrum錢包漏洞竊取了約價(jià)值75萬美元的BTC。201957004000萬美元。20196GatehubAPI100個(gè)XRP錢包信息泄露，損失估計(jì)為1000萬美元。2019年7月位于新加坡的加密通證交易所Birtue遭受黑客攻擊，因其風(fēng)險(xiǎn)管控漏500XRP。上也為未來數(shù)字錢包行業(yè)的完善進(jìn)步指明了方向。數(shù)字錢包使用過程安全分析在加密數(shù)字貨幣錢包的日常操作使用過程中，主要有創(chuàng)建錢包和使用（錢包余額查看等圖1-1環(huán)節(jié)漏洞攻擊方式創(chuàng)建錢包隨機(jī)數(shù)128bit進(jìn)行安全測(cè)試隨機(jī)數(shù)攻擊助記詞助記詞保存不安全，助記詞強(qiáng)度不足盜取、暴力破解私鑰存儲(chǔ)App錢包數(shù)據(jù)沒有加密存儲(chǔ)，運(yùn)行環(huán)境存在未知病毒以及操作系統(tǒng)漏洞漏洞利用、復(fù)制盜取硬件錢包設(shè)備接口過多，未采用安全芯片，軟系統(tǒng)過于復(fù)雜盜取設(shè)備暴力破解私鑰使用HTTPSDNS險(xiǎn)釣魚攻擊交易環(huán)節(jié)創(chuàng)建交易交易雙方的賬號(hào)沒有二次驗(yàn)證收款賬戶信息被惡意替換交易簽名在線環(huán)境不安全，協(xié)議設(shè)計(jì)不嚴(yán)格盜取PIN碼交易廣播操作系統(tǒng)不安全，非私密鏈接通訊攔截交易表1-1數(shù)字錢包開發(fā)&應(yīng)用技術(shù)安全分析運(yùn)行環(huán)境的安全風(fēng)險(xiǎn)加密數(shù)字貨幣錢包最核心的文件—私鑰/端還是移動(dòng)端，終端設(shè)備如果出現(xiàn)不安全的現(xiàn)象，對(duì)于私鑰/助記詞來說是有非常高的的私鑰/助記詞被盜的可能。終端上運(yùn)行環(huán)境的安全問題主要包括病毒軟件、操作系統(tǒng)漏洞等。病毒軟件APP不同的是，加密數(shù)字貨幣錢包的私鑰/核心考核指標(biāo)之一。操作系統(tǒng)漏洞獲得訪問加密數(shù)字貨幣錢包私鑰/Android、iOS、Windows還是Linux，每年都有大量的安全漏洞被公開和修復(fù)，而這些漏洞里面就有不少高危的本地私鑰/助記詞的存儲(chǔ)和處理還是停留在早期的使用固定密鑰進(jìn)行加密甚至直接明文保APP的訪問，由于缺乏對(duì)于系統(tǒng)漏洞的臨嚴(yán)重的被盜風(fēng)險(xiǎn)。網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)（英語：Man-in-the-middle是指攻擊者與通訊的兩端分別創(chuàng)建雖然大部分?jǐn)?shù)字錢包應(yīng)用都會(huì)使用HTTPSHTTPS應(yīng)用安全性的重要評(píng)判標(biāo)準(zhǔn)。私鑰（助記詞）隨機(jī)數(shù)生成風(fēng)險(xiǎn)隨機(jī)性。在私鑰的產(chǎn)生過程中，一般采用密碼學(xué)安全的隨機(jī)數(shù)生成器?(CryptographicallySecurePseudorandomNumberGenerator:CSPNG)，并且需要有一個(gè)來自具有足夠熵值的源的種子(seed)。數(shù)，或使用自身搭載的攝像頭進(jìn)行環(huán)境圖像采集，生成系統(tǒng)熵用于私鑰產(chǎn)出。私鑰（助記詞）存儲(chǔ)方式風(fēng)險(xiǎn)對(duì)于數(shù)字錢包的私鑰/助記詞，終端設(shè)備的存儲(chǔ)方式也是需要在安全性設(shè)計(jì)上加以//計(jì)都需要通過嚴(yán)密設(shè)計(jì)。鑰/助記詞的存儲(chǔ)上也是比較隨意的。既有明文存儲(chǔ)的，也有雖然是加密存儲(chǔ)但是解密的密鑰卻是在代碼里面固定寫死的，起不到任何的安全防御作用。應(yīng)用自身的安全風(fēng)險(xiǎn)調(diào)試能力、私鑰/助記詞使用的生命周期管理、調(diào)試日志的安全性、開發(fā)流程的安全等方面也是需要去設(shè)計(jì)增強(qiáng)的。數(shù)據(jù)備份的安全風(fēng)險(xiǎn)私鑰/Android屬性設(shè)置為允許備份，那么就可以利用系統(tǒng)的備份機(jī)制對(duì)應(yīng)用的數(shù)據(jù)文件進(jìn)行備份，而加密數(shù)字貨幣的私鑰/助記詞也就被備份到外部介質(zhì)了，這就從另外一個(gè)方向打破了操作系統(tǒng)的安全邊界設(shè)計(jì)。數(shù)字錢包安全案例分析數(shù)字錢包安全事件回溯20181228Electrum250（91.4萬美元25Gb的惡意流量阻塞服務(wù)2019年6月5日，用于安全存儲(chǔ)/處理XRP的錢包和網(wǎng)關(guān)——GateHub中大約有80-90個(gè)受害者受到黑客攻擊，被竊總量大約為23,200,000瑞波幣。沒有確鑿證據(jù)指向攻擊的源頭，攻擊的發(fā)生可能有各種方式，包括釣魚、Gatehub賬戶被黑客攻擊，Gatehub包含用戶私鑰的加密數(shù)據(jù)庫被盜并且被離線暴力平均等。20191011Safuwallet被黑客通過注入惡意代碼竊取了大量資金。2020725LedgerLedger官方認(rèn)為是安全的。LedgerAPI密鑰用于未經(jīng)API密鑰已失效。用戶安全使用引導(dǎo)備份信息不要接觸網(wǎng)絡(luò)。的方法進(jìn)行驗(yàn)證真?zhèn)危渌螺d渠道就盡量不要使用。及時(shí)更新數(shù)字錢包版本，防止最新的安全漏洞給黑客攻擊的機(jī)會(huì)。一般個(gè)人用戶而言，選擇中心化錢包，不用擔(dān)心私鑰備份和丟失問題。對(duì)于持幣量較大的用戶，或者長期投資不做頻繁交易的，需要選擇專業(yè)的硬件冷錢包。其他任何移動(dòng)應(yīng)用。數(shù)字錢包安全設(shè)計(jì)網(wǎng)絡(luò)傳輸安全大部分?jǐn)?shù)字錢包應(yīng)用都會(huì)使用HTTPS法上是可以通過在用戶終端中安裝一個(gè)數(shù)字證書的方式拿到HTTPS用安全性的重要評(píng)判標(biāo)準(zhǔn)。接口調(diào)用權(quán)限安全RPCGeth訪問時(shí)，千萬不要允許帶有解鎖賬戶功能的遠(yuǎn)程過程調(diào)用的外部訪問等。客戶端文件管理安全一些禁止性操作或者增加對(duì)某些風(fēng)險(xiǎn)操作的不便利性來降低用戶造成的風(fēng)險(xiǎn)。抵御終端不良程序?qū)﹃P(guān)鍵文件的訪問加密數(shù)字資產(chǎn)錢包最核心的文件—私鑰/端還是移動(dòng)端，終端設(shè)備如果出現(xiàn)不安全的現(xiàn)象，對(duì)于私鑰/助記詞來說是有非常高的安全風(fēng)險(xiǎn)的。一個(gè)安全的數(shù)字錢包，在設(shè)計(jì)之初就避免因?yàn)檫\(yùn)行環(huán)境而導(dǎo)致的私鑰/助確認(rèn)的功能等。終端關(guān)鍵文件加密的顯示方式，供用戶手動(dòng)記錄。助記詞等關(guān)鍵信息生成和管理對(duì)于錢包的核心關(guān)鍵信息，如助記詞、私鑰、Keystore的生成和管理需充分考慮安全性。這三者的設(shè)計(jì)原則和思路基本相同，以助記詞為例：為確?？蛻舳松芍浽~，不能經(jīng)過任何云端或者服務(wù)器，這是去中心化錢包的核心，任何訪問助記詞的過程都需要用戶主動(dòng)確認(rèn)，如上面提到的人臉識(shí)別或者短信確認(rèn)的功能等。開發(fā)擴(kuò)展安全數(shù)字錢包安全設(shè)計(jì)應(yīng)用實(shí)踐無私鑰錢包用戶需求分析因?yàn)閬G失助記詞而導(dǎo)致自身加密資產(chǎn)無法找回的情況屢見不鮮，根據(jù)2019年Coinmetrics170已經(jīng)丟失。許多錢包在創(chuàng)建的過程中，也（或私鑰（衡折中考慮）。因此，如何在保障用戶資產(chǎn)安全的同時(shí)擺脫對(duì)私鑰/助記詞的依賴，更好獲得區(qū)塊鏈錢包的用戶體驗(yàn)，成為越來越多團(tuán)隊(duì)的研究方向。門限簽名技術(shù)實(shí)現(xiàn)“私鑰自由”：為了提高資產(chǎn)的安全性，尤其是大額資產(chǎn)，目前通常有這三個(gè)方案：多簽簽名（MultiSig）、密鑰共享（SecretSharing）模式和門限簽名(Thresholdsignatures：TSS)方案。①多簽簽名（MultiSig）如果大額的資產(chǎn)，通常會(huì)使用多簽（MultiSig）的方式來分擔(dān)風(fēng)險(xiǎn)與責(zé)任，多簽通常需要有多個(gè)私鑰（N），只有當(dāng)其中的M（部分私鑰被盜或丟失，資產(chǎn)依然是安全的。（或腳本②密鑰共享（SecretSharing）與多簽不同，密鑰共享模式(Shamir'sSecretSharing：SSS)可以理解為一個(gè)把鑰匙分層多個(gè)部分。通過將密鑰分成多個(gè)部分并以冗余方式分開保管，發(fā)起交易則將一定數(shù)上述多簽費(fèi)用高的缺點(diǎn)。不過SSS有一個(gè)主要缺點(diǎn)：當(dāng)密鑰被重新組裝時(shí)，會(huì)為攻擊者提供了獲取密鑰的可乘之機(jī)。③門限簽名(Thresholdsignatures：TSS)方案門限簽名方案（簡稱：TSS）結(jié)合SSS和多簽的優(yōu)點(diǎn)，它基于多方安全計(jì)算(MPC:Multi-PartyComputation)使用多個(gè)分片的密鑰輪流進(jìn)行（交易）簽名，生成最終有效的簽名。Binance門限簽名方案（TSS）TSS作為一種分布式密鑰生成和簽名的加密協(xié)議，通過分布式的密鑰管理方式讓私鑰不再成為錢包和資產(chǎn)托管的最脆弱的?（個(gè)用戶少兩個(gè)用戶的簽名數(shù)據(jù)整合在?起才能構(gòu)建有效簽名。?TSS算替換所有簽名命令，從而讓私鑰不再成為一個(gè)單點(diǎn)風(fēng)險(xiǎn)。門限簽名方案跟前面多簽和SSS方案不同的是：多簽通常是需要M/N個(gè)簽名，而門限簽名（目前）需要多方都參與簽名。而門限簽名是鏈下的純密碼學(xué)的計(jì)算生成簽名，兼容性更強(qiáng)。線。TSS和SSS不一樣在于，SSS雖然分片密鑰，但是最終要重構(gòu)出密鑰來簽名，那么就存在單點(diǎn)故障和重構(gòu)出的密鑰被泄露的可能。而門限簽名（TSS）不需要重構(gòu)出密鑰?；陂T限簽名技術(shù)的無私鑰錢包解決方案——ZenGo20199ZenGo2.0版本，旨在借助突破性的加控制錢包來獲得最大的安全性體驗(yàn)。ZenGo基于門限簽名技術(shù)方案采用將單個(gè)私鑰拆分為多個(gè)私鑰碎片(目前是兩個(gè)部分)由約定多個(gè)參與方各自保管的模式。這里我們將其中一個(gè)密鑰保存在用戶自主可控對(duì)方。備份錢包也是相當(dāng)簡單的。一份加密過的客戶端持有的密鑰會(huì)儲(chǔ)存在錢包服務(wù)器中，而解密的方法是單獨(dú)存儲(chǔ)在用戶個(gè)人賬戶中，只有用戶本人的面部3D掃描圖才可以在幾秒鐘之內(nèi)恢復(fù)錢包，因?yàn)橹恍枰獟呙杳娌烤涂梢匀』貍浞輸?shù)據(jù)。任何的密碼，因?yàn)樗麄儾捎昧艘恍┓椒ú诺竭_(dá)了這種既方便又安全的方案：將會(huì)發(fā)送一個(gè)魔法鏈接給用戶，點(diǎn)擊后即可完成授權(quán)?；谠O(shè)備的授權(quán)，也就是依賴設(shè)備本身的安全性。當(dāng)用戶使用App簽署簽名時(shí)，需要使用面容ID或觸控ID進(jìn)行授權(quán)?；诿娌?D設(shè)備恢復(fù)賬戶時(shí)，就需要使用面部3D掃描圖進(jìn)行授權(quán)。服務(wù)Escrow和監(jiān)聽服務(wù)。Escrow可以理解為是錢包服務(wù)器的一個(gè)備份，而Escrow指定的GitHub（/ZenGo-Trustee）。錢包（客戶端）GitHubZenGo作為企業(yè)倒閉后，錢EscrowGitHub賬號(hào)引起不必要的恢復(fù)模式和由此可能造成的合成秘鑰被盜的風(fēng)險(xiǎn)。Imtoken充分利用設(shè)備安全沙箱機(jī)制，10240有效防止暴力破解的可能。其升級(jí)后的硬件錢包Imkey在此基礎(chǔ)上加入了更加成熟可靠的安全機(jī)制。PIN碼保護(hù)機(jī)制PINPIN碼驗(yàn)證通過后5ImKeyPINPINPIN5真?zhèn)悟?yàn)證機(jī)制ImKeyImKeyImKeyImKey硬件錢包才能通過驗(yàn)證。從根源上避免因?yàn)閭卧旌头旅暗募馘X包給用戶造成資產(chǎn)損失。應(yīng)用驗(yàn)簽機(jī)制ImKey出廠時(shí)已預(yù)置在硬件錢包內(nèi)部不可更改替換，只有合法授權(quán)的應(yīng)用程序才能被安裝到ImKey硬件錢包。綁定碼安全機(jī)制ImKeyAppImKey硬件錢包進(jìn)行綁定。通過綁App所見即所簽App通過藍(lán)牙傳輸?shù)慕灰讛?shù)據(jù)并在ImKey屏企業(yè)級(jí)數(shù)字資產(chǎn)錢包需求分析數(shù)字資產(chǎn)錢包本身的使用門檻較高，不僅需要對(duì)加密貨幣本身有所了解而且還需要一定的區(qū)塊鏈技術(shù)和數(shù)字資產(chǎn)的認(rèn)知及操作能力；對(duì)于企業(yè)職員特別是傳統(tǒng)財(cái)務(wù)管理人員，要從原本的中心化交易平臺(tái)轉(zhuǎn)換至區(qū)塊鏈思維具有一定的難度。對(duì)于企業(yè)或機(jī)構(gòu)來說，資產(chǎn)屬于組織，不屬于個(gè)人，然而目前市面上的數(shù)字資產(chǎn)錢包大多面向個(gè)人用戶，這對(duì)于企業(yè)處理實(shí)際財(cái)稅業(yè)務(wù)來說，增加了很大的管理和操作使用難度。根據(jù)調(diào)研分析，企業(yè)級(jí)用戶在數(shù)字資產(chǎn)管理領(lǐng)域目前主要的需求點(diǎn)包括：密鑰的安全生成、存儲(chǔ)、使用與分發(fā)；各種數(shù)字資產(chǎn)管理業(yè)務(wù)流程的信息安全管控；數(shù)字資產(chǎn)管理商業(yè)模式涉及的信息安全支撐；具體的多地址的統(tǒng)籌、分類、權(quán)限區(qū)別管理等。采用MPC和芯片隔離技術(shù)的錢包解決方案——Fireblocks多方安全計(jì)算MPC協(xié)議生成全新私鑰簽名，只有完整簽名結(jié)果才能上鏈交易。軟件保護(hù)擴(kuò)展IntelCPUSGXFireblocks突破了最新的加密與芯片隔離技術(shù)，保障用戶的數(shù)字資產(chǎn)安全的持有與轉(zhuǎn)移。Fireblocks平臺(tái)主要包括三個(gè)部分：安全熱金庫、安全傳輸環(huán)境、流程授權(quán)引擎。安全熱金庫Fireblocks非托管的熱金庫使黑客無法通過單點(diǎn)破壞私鑰，無論是通過物理破壞還MPC的特性將熱金庫的將私鑰Fireblocks的云服務(wù)器（SGX）和客戶自有的安全移動(dòng)容器。不存Fireblocks脅。圖4-1Fireblocks的安全傳輸環(huán)境允許對(duì)目標(biāo)地址進(jìn)行動(dòng)態(tài)身份驗(yàn)證，這意味著客戶的資產(chǎn)轉(zhuǎn)移將始終到達(dá)正確的目的地，而無需白名單管理以及繁瑣且容易出錯(cuò)的安全流程。使用芯片組隔離的SSLAPIFireblocks工作流授權(quán)模型定義了廣泛的規(guī)則集進(jìn)行權(quán)限管理，自定義的規(guī)則和策則集仍將適用。Fireblocks安全的存儲(chǔ)和傳輸平臺(tái)圍繞高度敏捷且安全的基礎(chǔ)架構(gòu)構(gòu)建，是穩(wěn)健的的威脅與干擾。企業(yè)級(jí)數(shù)字資產(chǎn)托管錢包解決方案實(shí)踐——CactusCustody產(chǎn)品背景介紹：20202CactusCustody2.010和反洗錢法例的框架下提供服務(wù)。出錯(cuò)率。CactusCustody降低了數(shù)字資產(chǎn)儲(chǔ)存中面臨的安全風(fēng)險(xiǎn)，并極大簡化了數(shù)字貨幣資產(chǎn)的歸集、清算流程工作。CactusCustody產(chǎn)品功能特點(diǎn)：企業(yè)財(cái)務(wù)全貌展示財(cái)務(wù)儀表盤功能，讓用戶時(shí)刻掌握企業(yè)的資產(chǎn)，業(yè)務(wù)和人員的最新狀況。CactusCustody為客戶接入實(shí)時(shí)資產(chǎn)價(jià)格數(shù)據(jù)，實(shí)時(shí)反應(yīng)資產(chǎn)市值，并可以按業(yè)務(wù)線，資產(chǎn)類別進(jìn)行篩選展示，讓財(cái)務(wù)和人員分工狀況一目了然。企業(yè)信息盡在管理者掌握。審批矩陣–靈活定制審批流程企業(yè)內(nèi)協(xié)作順暢，業(yè)務(wù)才能高效開展，對(duì)于跨地區(qū)和業(yè)務(wù)多樣化的企業(yè)尤其如此。全新的審批矩陣可以完美支持細(xì)分業(yè)務(wù)線，各種匯報(bào)審批層級(jí)，不僅支持門限審批(m/n)，同時(shí)支持按金額設(shè)定審批門檻，更靈活，有控制，更安全。實(shí)時(shí)動(dòng)態(tài)提醒–隨時(shí)隨地保持同步醒，無論何時(shí)何地，不會(huì)錯(cuò)過任何重要信息和決策，也為賬戶安全多走一步。風(fēng)控管理–多管齊下，力保安全從客戶角度出發(fā)，提供全方位的風(fēng)控工具：賬戶一鍵凍結(jié)/解凍--–公司管理員應(yīng)對(duì)突發(fā)事件時(shí)的秒級(jí)響應(yīng)安全閥；白名單保護(hù)–安心打幣，不怕出錯(cuò)；提幣限制–設(shè)定不同用戶的提幣速率，精細(xì)控制風(fēng)險(xiǎn)范圍。下載中心–日志流水報(bào)表一應(yīng)俱全雙模式錢包–靈活提幣,UTXO地址隔離型錢包。*混合型錢包：減輕客戶操作負(fù)擔(dān)，取幣無需精確到地址，選定錢包即可打幣。系統(tǒng)會(huì)通過計(jì)算最低交易費(fèi)并自動(dòng)為客戶選擇指定錢包內(nèi)的出金地址組合；*隔離型錢包：客戶可以精確到地址提幣。兩類錢包都支持批量打幣，減輕財(cái)務(wù)人員的操作負(fù)擔(dān)。產(chǎn)品安全能力優(yōu)勢(shì)：HSM-FIPS140-2level3，并都是高可用，隨時(shí)都有另外HSM備份。私鑰明文不會(huì)離開加密機(jī)，因此員工也不會(huì)接觸到客戶私鑰明文，出來的都是加密后的密文。atusuoy用Tier（全球最高級(jí)別的數(shù)據(jù)中心作為熱存儲(chǔ)和冷存儲(chǔ)的aul,這些數(shù)據(jù)中心都是有嚴(yán)格的準(zhǔn)入控制，CCTV監(jiān)控，防洪水和地震還有防電磁攻擊，也24/7堅(jiān)守的。數(shù)據(jù)中心分布于三大洲，新加坡，瑞士和美國，冷存儲(chǔ)大額取幣需要其中兩個(gè)數(shù)據(jù)中心簽名（2/3多簽）。（m/nshamirsharding,8片加密私鑰片段分別異地存儲(chǔ)在8個(gè)銀行的保險(xiǎn)柜里，需要時(shí)3/8恢復(fù)）。分權(quán)分域的系統(tǒng)設(shè)計(jì)，客戶在登陸后可以配置基于角色的授權(quán)。客戶管理員一鍵凍結(jié)賬戶和一鍵解凍功能，極端情況下保護(hù)賬戶資產(chǎn)。AB客戶。數(shù)字錢包安全測(cè)試標(biāo)準(zhǔn)圖5-1功能設(shè)計(jì)安全性測(cè)試①導(dǎo)入錢包功能安全測(cè)試方法：模擬黑客攻擊，測(cè)試安全隱患。過程被黑客攻擊。②交易密碼安全測(cè)試方法：模擬黑客攻擊，測(cè)試安全隱患。判定標(biāo)準(zhǔn)：交易密碼應(yīng)有檢測(cè)弱口令，防止黑客對(duì)密碼進(jìn)行拆解，直接進(jìn)行交易；密碼若本地存儲(chǔ)，存儲(chǔ)應(yīng)當(dāng)進(jìn)行嚴(yán)格加密（加密強(qiáng)度應(yīng)該不低于8位），防止黑客對(duì)其進(jìn)行逆向分析，獲取交易密碼。③用戶輸入安全測(cè)試方法：查看相關(guān)流程是否嚴(yán)格，驗(yàn)證此安全隱患是否存在。④轉(zhuǎn)賬地址安全檢測(cè)測(cè)試方法：模擬黑客攻擊，測(cè)試安全隱患否已經(jīng)被篡改，保證轉(zhuǎn)賬地址的完整性，防止黑客惡意篡改地址竊取數(shù)字資產(chǎn)。⑤助記詞/私鑰網(wǎng)絡(luò)儲(chǔ)存安全測(cè)試方法：逆向協(xié)議分析，檢查安全隱患判定標(biāo)準(zhǔn)：助記詞和私鑰應(yīng)當(dāng)禁止以任何形式通過網(wǎng)絡(luò)傳輸回錢包廠商，防止服務(wù)器被攻擊用戶數(shù)據(jù)與錢財(cái)被盜取，相關(guān)回傳數(shù)據(jù)操作容易導(dǎo)致用戶數(shù)據(jù)與資產(chǎn)被盜取。⑥Https通信中的證書校驗(yàn)測(cè)試方法：模擬黑客攻擊，測(cè)試安全隱患判定標(biāo)準(zhǔn)：數(shù)據(jù)網(wǎng)絡(luò)交互通信中，如果使用https，終端需要確保自身設(shè)定的根證書的可信性和合法性，終端必須對(duì)證書做嚴(yán)格的校驗(yàn)，確保證書的合法性。安全性能測(cè)試①通信加密過程安全測(cè)試方法：執(zhí)行白盒測(cè)試和黑盒測(cè)試，同時(shí)執(zhí)行網(wǎng)絡(luò)監(jiān)聽，測(cè)試系統(tǒng)。密。②接口調(diào)試安全測(cè)試方法：查閱設(shè)計(jì)材料，測(cè)試系統(tǒng)，分析接口調(diào)用的過程和數(shù)據(jù)。API接口的明文數(shù)據(jù)。③中間人攻擊測(cè)試方法：查閱材料，測(cè)試系統(tǒng)。人攻擊獲取關(guān)鍵信息的行為。④升級(jí)更新安全測(cè)試方法：查閱材料，測(cè)試系統(tǒng)，分析升級(jí)后代碼運(yùn)行情況。⑤權(quán)限控制安全測(cè)試方法：查閱材料，測(cè)試系統(tǒng)。⑥服務(wù)應(yīng)用安全測(cè)試方法：查閱材料，測(cè)試系統(tǒng)。同時(shí)定期監(jiān)控，黑白盒掃描漏洞。熱錢包安全測(cè)試運(yùn)行環(huán)境安全檢測(cè)①手機(jī)系統(tǒng)安全測(cè)試方法：掃描相關(guān)嚴(yán)重漏洞，判斷當(dāng)前手機(jī)系統(tǒng)安全性。App容易被黑客控制權(quán)限。②Root環(huán)境檢測(cè)測(cè)試方法：掃描root常見手段，來判定設(shè)備是否已被root。rootApproot手機(jī)上，使得相關(guān)執(zhí)行過程被黑客調(diào)試分析。③APP完整性檢測(cè)測(cè)試方法：模擬黑客攻擊對(duì)app進(jìn)行修改或者插入惡意代碼，來確認(rèn)是否安全。判定標(biāo)準(zhǔn)：錢包App應(yīng)當(dāng)做完整性檢測(cè)，應(yīng)該可以發(fā)現(xiàn)app被修改了或者被插入了惡意代碼。④網(wǎng)絡(luò)安全檢測(cè)測(cè)試方法：模擬黑客攻擊，來確認(rèn)是否安全。判定標(biāo)準(zhǔn)：App在運(yùn)行中應(yīng)當(dāng)檢測(cè)是否使用相關(guān)代理，防止網(wǎng)絡(luò)數(shù)據(jù)被監(jiān)聽，同時(shí)驗(yàn)證當(dāng)前使用網(wǎng)絡(luò)的DNS的安全性，不存在被劫持的可能。協(xié)議交互安全檢測(cè)①新用戶注冊(cè)安全測(cè)試方法：測(cè)試系統(tǒng)新用戶注冊(cè)流程，查看是否存在相關(guān)安全隱患。APP中，不能將用戶敏感信息以不安全不可靠的方式上傳至錢包服務(wù)器。②創(chuàng)建交易安全測(cè)試方法：測(cè)試系統(tǒng)創(chuàng)建交易的流程，查看是否存在相關(guān)安全隱患。戶信息被惡意替換后無法知道，導(dǎo)致用戶錢財(cái)損失問題。③交易簽名安全測(cè)試方法：交易過程邏輯代碼進(jìn)行逆向分析，查看是否存在相關(guān)安全隱患。判定標(biāo)準(zhǔn)：在交易創(chuàng)建后，發(fā)送正式簽名交易的過程，相關(guān)協(xié)議需嚴(yán)格設(shè)計(jì)，需校驗(yàn)交易的簽名信息。④交易完畢確認(rèn)測(cè)試方法：流程查詢分析，查看是否存在相關(guān)安全隱患。App上可查詢相關(guān)信息，以及個(gè)人交易記錄。⑤余額查詢安全測(cè)試方法：賬戶余額查詢分析，查看是否存在相關(guān)安全隱患。情況需要做出緊急措施，防止用戶APP數(shù)據(jù)接收虛假、異常信息。數(shù)據(jù)存儲(chǔ)安全檢測(cè)①助記詞創(chuàng)建安全測(cè)試方法：對(duì)助詞創(chuàng)建過程進(jìn)行分析，查看是否存在相關(guān)安全隱患。判定標(biāo)準(zhǔn)：新用戶使用錢包APP時(shí)，會(huì)生成助記詞要求用戶記錄，此過程禁用設(shè)備的檢測(cè)截屏，錄屏等功能，保證只有創(chuàng)建用戶能知道助詞信息。②助記詞存儲(chǔ)安全測(cè)試方法：在助詞存儲(chǔ)過程中，模擬黑客攻擊，檢測(cè)相關(guān)流程是否存在安全隱患。判定標(biāo)準(zhǔn)：助記詞生成后，不能以明文存儲(chǔ)，必須進(jìn)行加密存儲(chǔ)，并且需要高安全性加密算法防止黑客逆向分析恢復(fù)明文。③私鑰生成安全測(cè)試方法：在私鑰生成過程中，模擬黑客攻擊，檢測(cè)相關(guān)流程是否存在安全隱患。判定標(biāo)準(zhǔn)：錢包在新用戶私鑰生成過程，應(yīng)用高安全性的算法產(chǎn)生用戶私鑰，保證成私鑰。④私鑰存儲(chǔ)安全測(cè)試方法：在私鑰存儲(chǔ)安全過程中，對(duì)其進(jìn)行逆向分析，查看本地是否存在敏感信息。整性。冷錢包安全測(cè)試設(shè)備系統(tǒng)安全機(jī)制①硬件錢包聯(lián)網(wǎng)安全測(cè)試方法：測(cè)試系統(tǒng)在離線狀態(tài)下的使用流程中，是否存在相關(guān)安全隱患。程中的數(shù)據(jù)可靠性強(qiáng)，更新狀態(tài)按時(shí)間先后順序存儲(chǔ)，更新數(shù)據(jù)不可逆轉(zhuǎn)。②設(shè)備加密安全性測(cè)試方法：查閱材料，對(duì)芯片各項(xiàng)功能進(jìn)行測(cè)試。ELA4+內(nèi)部數(shù)據(jù)不可以讀取并解密。③硬件錢包系統(tǒng)安全測(cè)試方法：查閱材料，測(cè)試系統(tǒng)。相關(guān)協(xié)議模塊，要保證這些模塊無法訪問到錢包系統(tǒng)所產(chǎn)生的所有數(shù)據(jù)。④硬件錢包系統(tǒng)漏洞更新機(jī)制測(cè)試方法：查閱材料，測(cè)試系統(tǒng)。侵對(duì)系統(tǒng)進(jìn)行非法更新操作。⑤設(shè)備丟失鎖定方案測(cè)試方法：查閱設(shè)備定位相關(guān)材料，對(duì)設(shè)備定位進(jìn)行測(cè)試。GPS于錢包系統(tǒng)的一切功能。設(shè)備訪問權(quán)限控制①設(shè)備連接調(diào)試安全測(cè)試方法：測(cè)試設(shè)備連接調(diào)試流程，查看是否存在相關(guān)安全隱患。是合法設(shè)備，并且在交易過程中能保證交易只在雙方設(shè)備中進(jìn)行。②設(shè)備存儲(chǔ)區(qū)讀寫權(quán)限安全測(cè)試方法：測(cè)試系統(tǒng)對(duì)存儲(chǔ)區(qū)數(shù)據(jù)的訪問，查看是否存在相關(guān)安全隱患。機(jī)對(duì)存儲(chǔ)區(qū)做分析提取數(shù)據(jù)。③設(shè)備內(nèi)存安全測(cè)試方法：測(cè)試系統(tǒng)使用流程，查看是否存在相關(guān)安全隱患。逆向分析。業(yè)務(wù)功能實(shí)現(xiàn)機(jī)制①設(shè)備使用密碼設(shè)置測(cè)試方法：測(cè)試系統(tǒng)密碼設(shè)置功能，查看是否存在相關(guān)安全隱患。息，進(jìn)行交易。②創(chuàng)建錢包助記詞安全測(cè)試方法：測(cè)試錢包助記詞流程，查看是否存在相關(guān)安全隱患。判定標(biāo)準(zhǔn)：新用戶使用錢包時(shí)創(chuàng)建助記詞，利用高安全性加密算法進(jìn)行加密處理，對(duì)此數(shù)據(jù)進(jìn)行密文存儲(chǔ)，防止相關(guān)數(shù)據(jù)被逆向調(diào)試分析泄露，對(duì)用戶錢財(cái)造成損失。③交易過程安全測(cè)試方法：測(cè)試交易流程，查看是否存在相關(guān)安全隱患。防止用戶轉(zhuǎn)賬轉(zhuǎn)錯(cuò)，錢財(cái)受到損失。④數(shù)據(jù)存儲(chǔ)安全測(cè)試方法：測(cè)試私鑰管理流程和存儲(chǔ)介質(zhì)。且保證數(shù)據(jù)不能保存在設(shè)備存儲(chǔ)卡上，被外部獲取，否則容易被黑客攻擊。⑤系統(tǒng)完整性安全性的問題。