Nylig ble det innført lovforslag i det amerikanske senatet som ville gi
Commodities Futures Trading Commission (CFTC) tilsyn med kryptovaluta, som ville behandle dem som digitale varer. Uansett om lovforslaget blir lov, bør imidlertid banker og finansinstitusjoner følge nøye med på kryptovaluta,
om ikke av annen grunn enn fra et sikkerhetsperspektiv. Tross alt selger noen finansielle tjenesteorganisasjoner kryptovalutaprodukter, som f.eks
US Banks depottjeneste for kryptovaluta. Men det er en enda viktigere grunn for banker til å bry seg om krypto. Det er tydelig at nasjonalstater beveger seg i retning av digitale valutaer, med noen som faktisk har utstedt dem, som f.eks.
Bahamas sand dollar. Til og med USA er det
seriøst veier spørsmålet om CBDCs og en digital dollar. Mange av sikkerhetssårbarhetene som kryptovalutaer står overfor, vil også gjelde sentralbankers digitale valutaer (CBDC).
Forbrukere som investerer i krypto lagrer ofte kryptovalutaene sine i en digital lommebok som eksisterer som en mobilapp på smarttelefonen. Nettkriminelle er godt klar over, noe som betyr at de er fristende mål for angrep. Og, som enhver app, finnes det utallige metoder
å angripe en kryptolommebok, men etter min erfaring med å jobbe med krypto og som sikkerhetsekspert, vil det å sikre at appen er sikret mot disse fem mest vanlige angrepene øke beskyttelsen som gis til forbrukere.
Å stjele nøkler og passordfraser
Kryptering av nøkler på applikasjonsnivå er et absolutt must. Hvis nøkler er ukrypterte i preferanseområder, applikasjonssandkassen, SD-kortet eller i eksterne områder som utklippstavlen, vil hackere kunne stjele dem. En gang
de har nøklene, de kan gjøre hva de vil med midlene i lommeboken.
Hvis kryptert på applikasjonsnivå, selv om selve enheten er kompromittert, vil nøklene forbli trygge.
Dynamiske angrep på private nøkler
Nøklene og passfrasene til en kryptolommebok kan også stjeles dynamisk, noe som betyr at de på en eller annen måte blir fanget opp når lommebokeieren skriver inn nøkkel- eller passfrasetegnene i kryptolommebokens mobilapp. Hackere bruker vanligvis en av tre metoder
å gjøre dette:
-
Over-the-shoulder-angrep: Historisk refererer dette til en hacker som fysisk og i det skjulte er nær nok en bruker til å se dem legge inn passordfrasen i kryptolommeboken. Men i dag er det ingen grunn til å være der i kjødet. Skjermbilder og skjerm
opptak kan misbrukes til dette formål. -
Tastelogging av skadelig programvare: Her kjører skadelig programvare i bakgrunnen på appen for å fange opp hvert tastetrykk og sende dem til nettkriminelle. Rooting (Android) og jailbreaking (iOS) smarttelefonen gjør tastelogging enda enklere å gjennomføre.
-
Overleggsangrep: I dette tilfellet plasserer skadelig programvare en skjerm, som kan se ekte ut eller kan være gjennomsiktig, som lurer kryptolommebokens eier til å skrive inn legitimasjon enten i et felt inne i lommebok-appen eller en ondsinnet skjerm. Skadevaren overfører enten
informasjonen direkte til nettkriminelle eller tar over lommeboken direkte for å overføre midlene i lommeboken til hackere.
For å forsvare seg mot disse truslene krever at appen oppdager tastelogging, overlegg og opptak, slik at den kan ta direkte handling ved å advare eieren av lommeboken eller til og med slå av appen helt.
Ondsinnet instrumentering
Sikkerheten til en mobil lommebok avhenger av integriteten til plattformen som kjører den, for hvis enheten er rotet eller jailbroken, eller hvis hackere misbruker utviklingsverktøy som Frida, kan de få tilgang til blokkjedeadressen til klientappen. De
kan til og med etterligne appen for å gjøre transaksjoner på egen hånd. Mobile kryptolommebok-apper må kunne fortelle når de jobber i et rotet eller jailbroken miljø, slik at de kan, hvis det er nødvendig, stenge ned for å beskytte brukeren. De må også kunne
å blokkere Magisk, Frida og andre dynamiske analyse- og instrumenteringsverktøy som kan misbrukes til å kompromittere kritiske funksjoners integritet.
Like viktig er det at utviklere bør tilsløre appens kode slik at hackere vil ha en mye vanskeligere tid med å reversere appens indre funksjoner og logikk.
Man-in-the-Middle (MitM) -angrep
Mange kryptolommebøker er en del av børser som kan desentraliseres eller sentraliseres. Uansett, kommunikasjon er åpen for MitM-angrep når appen kommuniserer med en server eller under peer-to-peer-transaksjoner. Data under transport bør beskyttes med
AES-256-kryptering og sikker socketlag (SSL) / transportlagssikkerhet (TLS) må håndheves strengt for all kommunikasjon.
emulatorer
Hackere er også i stand til å lage modifiserte versjoner av kryptolommebok-apper. De kan også bruke disse modifiserte appene med simulatorer og emulatorer for å opprette uredelige kontoer, foreta uredelige handler og overføre kryptovaluta.
Kjøretidsapplikasjonselvbeskyttelse (RASP) metoder, og spesifikt anti-tukling, anti-feilsøking og emulatordeteksjon, er nøkkelen til å hindre denne typen angrep.
Selv for finansinstitusjoner som ikke er involvert i noen form for kryptovalutatjenester, er det viktig å lære av sikkerhetsutfordringene som brukere møter, spesielt når det kommer til kryptolommebøker. Den "digitale dollaren" er kanskje ikke så langt unna som vi tror,
og de institusjonene som er forberedt på å tilby sikre mobillommebøker til CBDCs vil ha en betydelig konkurransefordel.
- maur økonomisk
- blockchain
- blockchain konferanse fintech
- klokkespill fintech
- coinbase
- coingenius
- kryptokonferanse fintech
- fintech
- fintech-app
- fintech innovasjon
- Fintextra
- OpenSea
- PayPal
- paytech
- utbetalingsvei
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Revolut
- Ripple
- firkantet fintech
- stripe
- tencent fintech
- Xero
- zephyrnet
