Шесть наиболее распространенных атак на криптокошельки и почему банкам это должно быть интересно (Карен Хсу)

Недавно в Сенат США были внесены законопроекты, которые дадут
Комиссия по торговле товарными фьючерсами (CFTC) контролирует криптовалюту, который будет относиться к ним как к цифровому товару. Однако независимо от того, станет ли законопроект законом, банкам и финансовым учреждениям следует обратить пристальное внимание на криптовалюту.
хотя бы по какой-либо другой причине, кроме как с точки зрения безопасности. В конце концов, некоторые организации, предоставляющие финансовые услуги, продают криптовалютные продукты, такие как

Служба хранения криптовалюты Банка США. Но есть еще более важная причина, по которой банки заботятся о криптовалюте. Очевидно, что национальные государства движутся в направлении цифровых валют, причем некоторые из них уже их выпустили, например,
Багамский песочный доллар. Даже Соединенные Штаты

серьезно взвешивая проблему CBDC и цифрового доллара. Многие из уязвимостей безопасности, с которыми сталкиваются криптовалюты, также относятся к цифровым валютам центральных банков (CBDC).

Потребители, которые инвестируют в криптовалюту, часто хранят свои криптовалюты в цифровом кошельке, который существует в виде мобильного приложения на их смартфоне. Киберпреступники прекрасно это понимают, а значит, являются соблазнительной мишенью для атаки. И, как и в любом приложении, существует множество методов.
для атаки на криптокошелек, но, по моему опыту работы с криптовалютой и как специалиста по безопасности, обеспечение защиты приложения от этих пяти наиболее распространенных атак значительно повысит защиту, предоставляемую потребителям. 

Кража ключей и парольных фраз

 Шифрование ключей на уровне приложения абсолютно необходимо. Если ключи не зашифрованы в областях предпочтений, песочнице приложения, на SD-карте или во внешних областях, таких как буфер обмена, хакеры смогут украсть их. Один раз
у них есть ключи, и они могут делать со средствами в кошельке все, что захотят. 

При шифровании на уровне приложения, даже если само устройство будет скомпрометировано, ключи останутся в безопасности. 

Динамические атаки на приватные ключи

Ключи и парольные фразы для криптокошелька также могут быть украдены динамически, то есть они каким-то образом перехватываются, когда владелец кошелька вводит символы ключа или парольной фразы в мобильное приложение криптокошелька. Хакеры обычно используют один из трех методов.
сделать это:

• Атака через плечо: исторически это относится к хакеру, который физически и незаметно находится достаточно близко к пользователю, чтобы увидеть, как он вводит парольную фразу в криптокошелек. Но сегодня нет необходимости быть там во плоти. Скриншоты и экран
  записью можно злоупотреблять с этой целью.

• Вредоносное ПО для кейлогинга: здесь вредоносное ПО запускается в приложении в фоновом режиме, фиксируя каждое нажатие клавиши и отправляя его киберпреступникам. Рутирование (Android) и джейлбрейк (iOS) смартфона делают кейлогинг еще проще.

• Атака с наложением: в этом случае вредоносное ПО размещает экран, который может выглядеть подлинным или может быть прозрачным, который обманом заставляет владельца криптокошелька вводить учетные данные либо в поле внутри приложения кошелька, либо на вредоносном экране. Вредоносное ПО либо передает
  информация передается непосредственно киберпреступникам или напрямую захватывает кошелек для передачи средств в кошельке хакерам.

Для защиты от этих угроз приложение должно обнаруживать кейлоггеры, наложения и записи, чтобы оно могло предпринять прямые действия, предупредив владельца кошелька или даже полностью завершив приложение. 

Вредоносное инструментирование

Безопасность мобильного кошелька зависит от целостности платформы, на которой он работает, поскольку, если устройство рутировано или взломано, или если хакеры злоупотребляют такими инструментами разработки, как Frida, они могут получить доступ к адресу блокчейна клиентского приложения. Они
могут даже выдавать себя за приложение, чтобы совершать транзакции самостоятельно. Мобильные приложения криптокошельков должны иметь возможность определять, когда они работают в среде с root-правами или с джейлбрейком, чтобы при необходимости они могли завершить работу для защиты пользователя. Они также должны иметь возможность
блокировать Magisk, Frida и другие инструменты динамического анализа и инструментирования, злоупотребление которыми может привести к нарушению целостности критически важных функций. 

Не менее важно и то, что разработчики должны запутать код приложения, чтобы хакерам было гораздо сложнее перепроектировать внутреннюю работу и логику приложения.

Атаки «человек посередине» (MitM)

Многие криптокошельки являются частью бирж, которые могут быть децентрализованными или централизованными. В любом случае связь открыта для атак MitM, когда приложение взаимодействует с сервером или во время одноранговых транзакций. Передаваемые данные должны быть защищены
Шифрование AES-256 и уровень защищенных сокетов (SSL)/безопасность транспортного уровня (TLS) должны строго соблюдаться для всех коммуникаций.

Эмуляторы

Хакеры также могут создавать модифицированные версии приложений криптокошельков. Они также могут использовать эти модифицированные приложения с симуляторами и эмуляторами для создания мошеннических учетных записей, совершения мошеннических сделок и перевода криптовалюты. 

Методы самозащиты приложений во время выполнения (RASP), а именно защита от несанкционированного доступа, защита от отладки и обнаружение эмулятора, являются ключом к предотвращению подобных атак.

Даже для финансовых учреждений, не участвующих в каких-либо криптовалютных услугах, важно извлечь уроки из проблем безопасности, с которыми сталкиваются пользователи, особенно когда речь идет о криптокошельках. «Цифровой доллар», возможно, не так далек, как мы думаем.
и те учреждения, которые готовы предоставить безопасные мобильные кошельки CBDC, будут иметь значительное конкурентное преимущество.