最近,美国参议院提出了法案,将给予
商品期货交易委员会 (CFTC) 对加密货币的监督,这会将它们视为数字商品。 然而,无论该法案是否成为法律,银行和金融机构都应密切关注加密货币,
如果没有其他原因,只是从安全角度来看。 毕竟,一些金融服务机构正在销售加密货币产品,例如
美国银行的加密货币托管服务. 但银行关心加密货币还有一个更重要的原因。 很明显,民族国家正在朝着数字货币的方向发展,有些国家实际上已经发行了它们,例如
巴哈马沙元. 就连美国也是
认真权衡 CBDC 和数字美元的问题. 加密货币面临的许多安全漏洞也与中央银行数字货币(CBDC)有关。
投资加密货币的消费者通常将其加密货币存储在数字钱包中,该钱包作为智能手机上的移动应用程序存在。 网络犯罪分子很清楚,这意味着他们很容易成为攻击目标。 而且,像任何应用程序一样,有无数种方法
攻击加密钱包,但根据我使用加密和作为安全专家的经验,确保应用程序免受这五种最常见的攻击将大大增加为消费者提供的保护。
窃取密钥和密码
应用程序级别的密钥加密是绝对必须的。 如果首选区域、应用程序沙箱、SD 卡或剪贴板等外部区域中的密钥未加密,黑客将能够窃取它们。 一次
他们有钥匙,他们可以用钱包里的钱做他们想做的事。
如果在应用程序级别加密,即使设备本身受到威胁,密钥也将保持安全。
对私钥的动态攻击
加密钱包的密钥和密码短语也可能被动态窃取,这意味着当钱包所有者将密钥或密码短语字符输入加密钱包移动应用程序时,它们会以某种方式被截获。 黑客通常使用三种方法之一
去做这个:
-
过肩攻击:从历史上看,这是指黑客在物理上和秘密地接近用户,可以看到他们将密码短语输入加密钱包。 但是今天,没有必要在肉体中存在。 截图和画面
为此可以滥用录音。 -
键盘记录恶意软件:在这里,恶意软件在应用程序的后台运行,以捕获每次击键并将其发送给网络犯罪分子。 智能手机的生根 (Android) 和越狱 (iOS) 使键盘记录更容易完成。
-
覆盖攻击:在这种情况下,恶意软件会放置一个看起来真实或透明的屏幕,诱使加密钱包的所有者将凭据输入到钱包应用程序内的字段或恶意屏幕中。 恶意软件要么传输
将信息直接发送给网络犯罪分子或直接接管钱包将钱包中的资金转移给黑客。
防御这些威胁需要应用程序检测键盘记录、覆盖和录音,因此它可以通过警告钱包所有者甚至完全关闭应用程序来采取直接行动。
恶意检测
移动钱包的安全性取决于运行它的平台的完整性,因为如果设备被 root 或越狱,或者如果黑客滥用像 Frida 这样的开发工具,他们就可以访问客户端应用程序的区块链地址。 他们
甚至可以冒充应用自行进行交易。 移动加密钱包应用程序必须能够判断它们何时在 root 或越狱环境中工作,以便在需要时关闭以保护用户。 他们还必须能够
阻止 Magisk、Frida 和其他可被滥用以破坏关键功能完整性的动态分析和检测工具。
同样重要的是,开发人员应该混淆应用程序的代码,这样黑客就很难对应用程序的内部工作和逻辑进行逆向工程。
中间人 (MitM) 攻击
许多加密钱包是可以去中心化或中心化的交易所的一部分。 无论哪种方式,当应用程序与服务器通信或点对点交易期间,通信都容易受到中间人攻击。 传输中的数据应受到保护
必须对所有通信严格执行 AES-256 加密和安全套接字层 (SSL)/传输层安全 (TLS)。
仿真器
黑客还能够制作加密钱包应用程序的修改版本。 他们还可以将这些修改后的应用程序与模拟器和模拟器一起使用,以创建欺诈性账户、进行欺诈性交易和转移加密货币。
运行时应用程序自我保护 (RASP) 方法,特别是反篡改、反调试和仿真器检测,是阻止此类攻击的关键。
即使对于不涉及任何类型的加密货币服务的金融机构,从用户面临的安全挑战中学习也很重要,尤其是在涉及加密钱包时。 “数字美元”可能并没有我们想象的那么遥远,
那些准备提供安全的 CBDC 移动钱包的机构将具有显着的竞争优势。
