1. 运行环境的安全风险
加密数字货币钱包最核心的文件是存储在终端设备上的私钥/助记词。如果终端设备存在安全漏洞,私钥/助记词将面临极高的安全风险。因此,安全可靠的数字钱包应该从设计之初就避免由运行环境引起的私钥/助记词被盗的可能。终端设备的运行环境安全问题主要包括病毒软件、操作系统漏洞和硬件漏洞等。
2. 网络传输的安全风险
网络传输的安全风险体现在是否有对抗中间人攻击的能力上。中间人攻击是指攻击者与通讯的两端创建独立的联系,并以此交换信息,在通讯的两端看来,他们正在通过一个私密的连接与对方直接对话,但整个会话实际上被攻击者完全控制。安全的数字钱包需要能够对终端里所有数字证书的合法性进行扫描,检查网络传输过程中的代理设置,并保障网络通讯环境的安全性。在数字钱包开发中,使用双向校验的方式进行通讯验证也是重要评判标准之一。
3. 文件存储方式的安全风险
对于数字钱包的私钥/助记词,终端设备的存储方式也需要加以注意。私钥/助记词文件存放目录的访问权限、私钥/助记词的存储形式和加密算法设计都需要精心设计。多款数字钱包在私钥/助记词的存储上存在较大漏洞,例如明文存储或者加密存储但解密密钥在代码中固定写死等。
4. 应用自身的安全风险
数字钱包应用自身的安全风险主要集中在安装包的防篡改能力上。应用安装包是否具备抗篡改能力是核心技术能力之一。此外,应用运行过程中的内存安全、反调试能力、私钥/助记词使用的生命周期管理、调试日志的安全性、开发流程的安全等方面也需要加强设计。
5. 数据备份的安全风险
如果移动应用能够备份出来,就可以使用更加强大的计算机对私钥/助记词进行暴力破解。如果应用的androi:allowBackup属性设置为允许备份,那么利用系统备份机制对应用的数据文件进行备份,就可以将加密数字货币的私钥/助记词备份到外部设备上,此时操作系统的安全边界也将被突破。
对于广大用户来说,数字钱包的安全也意味着财富的安全。在选择数字钱包时必须慎重对待,不可掉以轻心。
用戶喜愛的交易所
已有账号登陆后会弹出下载