数字钱包安全问题再掀波澜,汉化版“Telegram”被曝侵犯用户隐私

5
okx

5月25日,欧盟发布的GDPR即《一般数据保护条例》宣布正式生效。据悉,GDPR条例效力仅次于宪法,增加了对用户数据保护的强制性和责任性,如若企业不遵守,将受到2000万欧元或企业全球年营业额4%的严厉处罚。

这为一些面向全球化业务的高科技企业,制定了更高的个人隐私保护和安全标准,生来便具备全球化基因的区块链行业自然也不例外。

一年来,随着区块链新技术的火热,一些窃取用户隐私和资产,扰乱行业安全生态的黑客攻击行为屡见不鲜,尤以数字钱包领域为重灾区。

2017年11月,以太坊钱包Parity被爆漏洞,导致93万个ETH被冻结,价值2.8亿美金。2018年4月,数字货币钱包Myetherwallet(MEW),遭受了黑客DNS劫持攻击,致使一名不幸的用户损失超过85个ETH,价值近6万美元。因数字钱包漏洞恶意攻击的安全隐患事件不胜枚举。

近日,区块链安全公司PeckShield研究人员发现一款集成IM的数字钱包应用程序——币用存在重大安全漏洞。技术人员通过开源代码研究发现 “币用”不仅上传telegram ID、名字、手机号上传到币用自己的服务器,而且在进行转账操作时,甚至会将交易密码以纯文本格式上传到币用服务器。用户身份、钱包地址甚至密码全部被关联在一起,无疑会给用户带来极大的隐私和支付风险。

据币用官方称,币用要打造一个链接用户与区块链世界的社交网络,通过链接区块链用户、社区、媒体、资产、应用程序等社交网络,从而成为区块链世界的航母“微信”。不过,业界对其认知还只是汉化版Telegram,在Telegram全球用户已经破亿的大势下,币用每月也拥有了近300万活跃用户,圈内影响不容小觑。

按照官方说法,币用的产品卖(lou)点(dong)在于 :

1、无需保存复杂的助记词、私钥等晦涩信息,一个手机号就能玩转整个区块链世界。要知道,私钥是证明数字资产所有权的唯一凭证,私钥的生成和存储方式决定了用户资产的安全与否。助记词是明文私钥的另一种表现形式,目的是为了帮助用户记忆复杂的私钥,能够安全管理助记词也至关重要。

圈内人一直呼吁对数字货币采用“变态级”的保存方式。不通过网络传输,比如邮箱,甚至不将私钥助记词等保存在联网的电脑上,而要用笔抄在纸上,多抄几份分别放在不同的安全区域。然而币用却忽略甚至诱导用户不在意这一点,这显然是背离区块链产品安全基本准则的。

2、联合Telegram打造了超级社区,可以加入热门区块链群组,和全球用户进行交流对话。币用在拓展初期能快速获得一定量级的用户,这和他建立在圈内人心智中汉化版Telegram品牌定位有莫大关联。

殊不知,Telegram的最大特点是它的“Secret Chats”私密聊天功能,用户可以自由删除聊天消息,信息阅后即焚。其点对点加密技术是吸引用户的关键,另外Telegram采用了自定义的MTProto协议,区别于web,这是一种专门用于移动端app与服务器交互使用的协议,为其信息传输安全提供了有力保障。然而,表面神似Telegram的币用,内核却差之甚远。

PeckShield研究人员发现币用在登录界面(LoginActivity)会将Telegram ID、显示名、手机号发送一个地址UrlConfig.URL_USER_UPLOAD。若继续跟查这个URL地址,会发现其最终上传服务器为
https://www.biyong.info/app/user/upload,很明显这是币用的私有域名,并不受智能合约保护,而且上传数据前,系统并没有对数据体本身做安全处理。

(代码片段收集电话号码和电报ID)

3、拥有许多诸如翻译、钱包、红包、邀请活动等超级功能。币用为了活跃用户群并快速导入流量,在各个群发送免费领币消息,引导用户创建钱包并参与抢发红包。众所周知,纯IM产品和涉及到资金管理的数字钱包产品安全标准是全然不同的。币用加入了创建钱包功能,并没有做好相应的资金安全保障。分析代码发现,当用户传输加密货币时,它会调用sendOutToServer以明文形式收集并上传支付密码,而且密码规格是6位数字,倘若用户信用卡、支付宝、微信、邮箱等其他平台账户的密码和此密码一致,而且不幸手机里的某个APP被黑客拿到了ROOT权限,后果可想而知。

(代码片段以明文形式收集并上传支付密码)

写在最后:

对用户而言,需要强化对数字货币传输安全的认知,尤其是加强对于私钥的保护,对数字钱包平台而言,切莫为了盲目攫取用户量而忽略底层的安全问题。

目前,市面上已经有多种类型的数字货币钱包,诸如imtoken、Kcash等都已取得了一定的市场份额。但这个市场蛋糕足够大,据了解全球持币人数约为5000万,中国持币人数仅500-600万,较之人口比例,绝对属于增量市场。

钱包在战略层属于区块链行业的“超级入口”,是创业者竞相争抢的赛道。故而,市场上出现了大量“良莠不齐”的产品。有个别开发团队在业务优先的前提下,对自身钱包产品的安全性并未做足够防护,一旦用户个人资产被盗,加之区块链的交易不可逆特性,对用户造成的损失难以估量。

综上而言,安全才是数字钱包平台的核心命脉,也是整个区块链生态稳健发展的基础。

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

进群交流|欧易官网