2018年数字钱包安全浅析.pdf

《2018年数字钱包安全浅析.pdf》由会员分享，可在线阅读，更多相关《2018年数字钱包安全浅析.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、数字钱包安全浅析二、数字货币钱包的基本原理目录CONTENTS一、安全事件频发三、常见数字货币钱包及安全风险分析四、硬件钱包基本原理和安全风险五、移动钱包如何提升安全性六、钱包私钥备份与恢复2016年2017年20183月，美国数字货币交易所Poloniex被盗，损失12.3%的比特币1月，Bitstamp交易所盗币案1.9万枚比特币，当时价值510万美元1月1日，Cryptsy交易平台失窃1.3万比特币，价值1.9亿美元；2月，黑客利用比特儿从冷钱包填充热钱包的瞬间，将比特儿交易平台冷钱包中的所有比特币盗走，总额为7170个比特币,价值1亿美元；8月1日，全球知名比特币交易平台Bitfine

2、x盗币案约12万枚，价值18亿美元；数字货币安全事件频发Mt.gox盗币案85万枚，价值120亿美元BTC-e交易所盗币案6.6万枚，价值9.9亿美元11月22日Tether宣布被黑客入侵，价值3100万美元的比特币被盗2017年11月23日，Bitfinex发生挤兑3万比特币瞬间被提走据美国财经网站CNBC报道，网络安全公司Carbon Black的调查数据显示，2018年上半年，有价值约11亿美元的数字加密货币被盗。2014年2015年直接变现现高收益低风险 数字货币是黑客的饕鬄盛宴 数字钱包基本原理（比特币为例）比特币的所有权是通过数字密钥、比特币地址和数字签名来确立的。数字密钥由用户生

3、成并存储数字钱包中，也称为比特币钱包。钱包中包含成对的私钥和公钥。用户用这些私钥来签名交易，从而证明它们拥有交易的输出（其中的比特币）。而通过公钥生成的比特币地址，用于收款。私钥公钥数字钱包 私钥的容器密钥对和钱包地址生成交易签名收款本地钱包即桌面程序，运行在用户本地操作系统，密钥在本地生成（保存在名为“wallet.dat”的文件中），并由口令等因素加密。比如，Bitcoin-Qt（官方客户端，基于C+/Qt，全平台）、MultiBit（全平台，轻钱包，官方推荐）、Electrum（著名轻钱包）、Armory（基于Python，含有诸多特性的轻钱包）。本地钱包离线钱包有时也被称之为“冷存储”

4、。离线钱包即在一个不联网的电脑中，使用本地钱包软件生成私钥，在不联网的情况下对交易签名，通过U盘等存储介质把交易内容拷贝到联网的电脑中再广播该交易。内容 离线钱包在线钱包一般是在线的网站提供的钱包服务，私钥由网站托管，用户通过口令或其他认证手段登录网站，从而获取私钥的操作权限。比如BlockChain.info、Inputs.io 等。输入内容 在线钱包 常见的比特币钱包比特币钱包一般分为在线钱包、本地钱包、离线钱包等几种类型。网络钓鱼键盘记录器Cookie劫持云端拖库撞库内鬼作案木马+暴力破解木马+键盘记录器 常见的比特币钱包安全风险分析 私钥保护攻击模型和安全需求攻击模型安全需求一、以恢复

5、用户密钥为目的的攻击具有较强的抗密钥恢复攻击的能力，保证密钥的存储以及运算中的安全二、以非法调用用户密钥为目的的攻击具有对用户进行认证的能力，保证密钥的调用安全，防止假冒用户身份三、以绕过认证机制为目的的攻击具有一定的抗逆向工程以及抗调试与篡改的能力，防止恶意程序或攻击者绕过用户身份认证机制直接调用密钥四、以篡改交易内容为目的的攻击防止交易地址和金额被恶意篡改，用户没有发现私钥的生成私钥的存储当前区块链的私钥一般都是软实现进行存储的，以文件形式保存到终端或服务器数据库中，使用口令作为认证手段。容易被黑客或内鬼复制、窃取、暴力破解，安全风险极高私钥自身的质量取决于产生私钥的随机数的质量；伪随机和

6、真随机 私钥保护的几个关键环节私钥的使用私钥计算软实现，加载私钥到内存，通过CPU完成计算，计算过程私钥以明文的形式在内存和CPU中出现，容易被攻击程序获取私钥在硬件内生成，私钥不出硬件；通过PIN码认证，设备+PIN形成双因素认证；内置显示屏和物理按钮，检查确认交易，防止远程劫持；在银行领域，称这种有屏幕和按键的U盾为二代U盾，反之为一代U盾。图为Ledger Nano S 硬件钱包TREZORKeep KeyCoin Pass BLE（国产）主流硬件钱包Ledger钱包的