网络安全认证平台 CER 表示,绝大多数钱包不会聘请外部专家进行渗透测试。网络安全认证平台 CER 7 月份的一份报告发现,45 个加密货币钱包品牌中,只有 6 个(即 13.3%)经过了渗透测试以发现安全漏洞。其中,只有一半对其产品的最新版本进行了测试。
报告称,完成最新渗透测试的三个品牌是 MetaMask、ZenGo 和 Trust Wallet。Rabby 和 Bifrost 对旧版本的软件进行了渗透测试,Ledger Live 对未知版本(在报告中列为“N/A”)进行了渗透测试。列出的所有其他品牌均未提供任何做过这些测试的证据。
该报告还提供了每个钱包安全性的总体排名,将 MetaMask、ZenGo、Rabby、Trust Wallet 和 Coinbase Wallet 列为总体最安全的钱包。
渗透测试是一种发现计算机系统或软件中安全漏洞的方法。安全研究人员试图侵入设备或软件并将其用于非预期目的。在大多数情况下,渗透测试人员几乎不会获得有关产品如何工作的信息。此过程用于模拟现实世界中的黑客尝试,以在产品发布之前发现漏洞。
CER 发现,45 个钱包品牌中有 39 个根本没有进行任何渗透测试,甚至没有对旧版本的软件进行测试。CER 推测原因可能是这些测试成本高昂,特别是如果公司频繁升级其产品,并表示:“我们将其归因于平均应用程序的更新量,其中每个新更新都可能取消之前进行的渗透测试的资格”。
CER 发现****的钱包品牌更有可能进行安全审计,包括渗透测试,因为它们通常有资金这样做:
“从本质上讲,流行的钱包往往会采用更强大的安全措施来保护其不断增长的用户群。这似乎是合乎逻辑的——更高的用户群通常对应于更重要的资金来确保安全、更高的可见性,从而带来更多的潜在威胁。它还可以产生积极的反馈循环,更安全的钱包比不安全的钱包吸引更多的新用户。”
CER 的钱包排名基于一种方法,其中包括错误赏金、过去的事件以及恢复方法和密码要求等安全功能等因素。
尽管大多数钱包品牌不进行渗透测试,但 CER 表示,许多钱包品牌确实依靠漏洞赏金来发现漏洞,这通常是防止黑客攻击的有效手段。该公司将 159 个钱包中的 47 个整体评为“安全”,这意味着它们的安全评分高于 60 分。这 159 个钱包中包括一些来自同一品牌的钱包。例如,适用于 Edge 浏览器的 MetaMask 被视为与适用于 Android 的 MetaMask 不同的钱包。
钱包安全已成为 2023 年的一个紧迫问题,6 月 3 日的 Atomic 钱包黑客攻击造成了超过 1 亿美元的损失。Atomic团队推测此次泄露可能是由公司基础设施中的病毒或恶意软件注入造成的,但允许攻击的确切漏洞仍然未知。网络钱包 MyAlgo 也在2 月底遭遇安全漏洞,预计给用户造成超过 900 万美元的损失。
