加密资产放钱包安全吗_安全的加密资产

作为虚拟币行业人士而言，我们经常都会说到加密资产放钱包安全吗时有很多细节是需要注意的。你知道安全的加密资产？今天就让小编跟你们说说吧！

安全，NICO交易所率领业界顶级团队参照银行业标准建立的安全防护体系，通过平台、账户、钱包和内控管理等过多层安全防护，将系统风险降到最低，全方位多层次保护用户的资产安全。

AcToken钱包是一款数字资产钱包。

钱包只是AcToken将触角伸向虚拟货币的第一步，未来的愿景是构建打通理财圈和币圈的唯一通道。币圈有着大量的营销需求，希望把自己的资产触达有投资意向的高净值人群。

如果你刚刚进入区块链世界, 会茫然不知所措, 弄不懂稀奇古怪的数字, 晦涩难懂的专业词语, 怎样才能迈出跨入区块链大门的第一步呢？

首先，我们不要去研究到底什么是区块链, 什么是智能合约、加密算法等等，你要做的第一步是：先拥有一个自己的钱包。

在数字资产世界里，钱包是一个密钥 (包含私钥和公钥) 的管理容器。用户使用私钥进行签名交易，从而证明拥有该交易的输出权，其交易信息并不是存储在该钱包内，而是存储在区块链中。

AcToken是基于石墨烯底层技术DPOS共识机制，可以达到数百万TPS,及毫秒级的确认速度。AcToken是一款一键式与ABTC.XIN数字交易平台用户底层数据打通的移动端轻钱包APP，它旨在为普通用户提供安全便捷、简单实用、功能强大的数字资产钱包应用。

钱包只是AcToken将触角伸向虚拟货币的第一步，未来的愿景是构建打通理财圈和币圈的唯一通道。币圈有着大量的营销需求，希望把自己的资产触达有投资意向的高净值人群。

正常来说是存在钱包里比较安全一些，毕竟是自己的东西，如果放在其他地方了，有可能会出现丢失 。

根据2021年1月12日Atlas VPN的研究，去年区块链遭受的攻击给受害者造成了 38亿美元 的巨额损失。

这些数字由Slowmist Hacked安全团队提供，包括上述文章内容就是针对区块链项目、应用程序和令牌以及加密货币骗局的信息，其中后者占2020年所有区块链相关 黑客事件的13% 。

以太坊上运行的DApps和去中心化应用程序受到了 47次攻击 ，当前价值为 4.463亿美元 ，其次是加密货币交易所，遭受了 28次攻击 （损失了 3.001亿美元 ）。

加密钱包是黑客最受欢迎的目标，其损失将近 30.3亿美元 。

加密货币钱包是一种软件程序，用于存储私钥和公钥，使用户能够发送和接收数字货币并监控其余额。

私钥，是掌握数字钱包的入口，只有私钥，才能证明你是钱包里资产的主人，而且这串私钥除了你之外，没有任何人知道。网络罪犯通常使用复杂的技术来入侵数字钱包并在用户不知情的情况下窃取或者转移加密资产。当保护数字货币免受网络攻击时，保护钱包至关重要。

例：英国人Jon在2010年入手了比特币，把私钥写在纸上，结果被清洁工丢掉，从此钱包里的10000美金的比特币再也和他没有任何关系。

以下将推荐一些保护您的加密货币的方法：

01 保持冷静

当您加密资产被盗取的情况发生时，请保持冷静，不要惊慌，以免发生自己操作不当而造成资产的二次损失。

如果要更改密码、电子邮件或备份设备，请花一些时间确保自己能清醒理智完成所有步骤。

如果您的资金是离线存储，那您的资产是属于安全的状态，硬件钱包是存储资产最安全的方式。

02 使用冷热钱包

热钱包 热钱包就是“在线钱包”，联网钱包，可以在浏览器或移动设备上交易比特币，可以随时访问。

冷钱包 与热钱包不同，冷钱包不会联网，因此它们不易受到网络攻击。它们使用实体媒介来进行脱机存储密钥，这也使得它们能够抵御在线的黑客攻击，因此，冷钱包在保存代币方面更安全。

热钱包适合频繁交易，而冷钱包更适合长期存储加密资产。

03 不要分享私钥

每个加密货币钱包都有公钥和私钥。

私钥用于验证资产所有权和加密钱包，而公钥则用于识别钱包和接收资金的公共地址。

一定不要向他人分享私钥或密码。分享私钥或密码，实际上就是让别人有机会获得自己的加密货币资产。请记住，声誉良好的加密货币公司绝不会向用户索要秘钥来帮助用户解决问题。

保护好私钥才能掌控自己的币。这就是 “not your keys, not your coins”这个俗语的由来。

04使用安全的网络

在进行任何交易时，请使用安全的互联网连接，并避免使用公共Wi-Fi网络。即使访问家庭网络，也可以使用VPN来提高安全性，使用VPN会更改IP地址和位置，它会将您上网时的通讯、数据、位置以及其他隐私信息进行保密，从而提高您交易的安全性。

05使用多个钱包分散资产

俗话说要把鸡蛋放在不同的篮子里，因此您可以将资产分散到多个钱包中。使用一个钱包进行日常交易，将其余的存放在单独的钱包中，增强资产安全性，若发生意外也可以减轻账户的损失

06定期更改密码

密码尤为重要。

美国一项研究表明，美国四分之三的千禧一代在十多个设备、应用程序和其他社交媒体账户上使用相同的密码。他还指出，大多数人在50多个不同的地方使用相同的密码。

如果您的电子邮件地址已经被入侵，我们建议您更改关联密码，在思考密码时，建议您选中包含多种类型的字符，例如：大小写字母和符号来增强安全性。

定期更改密码有助于提高资产安全性。如果您有多个钱包，选择二次身份验证（2FA）或多因素身份验证（MFA），可以提高安全性。

07警惕钓鱼活动

通过恶意广告和电子邮件进行的网络诈骗在加密货币领域中十分常见，所以我们在进行加密货币交易时要小心，避免点击任何可疑和未知的链接。

根据2021年1月12日发布的Atlas VPN报告，过去五年来攻击次数总体呈下降趋势，尽管2019年有133种针对各种区块链平台，应用程序和令牌的协同攻击，但到2020年，这一数字下降了8％。

加密货币行业不断发展，我们也要学会采取必要的安全预防措施来保护我们资产的安全，这是至关重要的。

更多资讯欢迎关注公众号：1TMine 算力平台。

近年来，数字钱包安全事件频发。

2019年11月19日，Ars Technica报道称两个加密货币钱包数据遭泄露，220万账户信息被盗。安全研究员Troy Hunt证实，被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。

这已经不是Gatehub第一次遭遇数据泄露了。据报道，去年6月，黑客入侵了大约100 个XRP Ledger钱包，导致近1000万美元的资金被盗。

2019年3月29日，Bithumb失窃事件闹得沸沸扬扬。据猜测，这次事件起因为Bithumb拥有的g4ydomrxhege帐户的私钥被黑客盗取。

随即，黑客将窃取的资金分散到各个交易所，包括火币，HitBTC，WB和EXmo。根据非官方数据和用户估计，Bithumb遭受的损失高达300万个EOS币（约1300万美元）和2000万个XRP币（约600万美元）以上。

由于数字货币的匿名性及去中心化，导致被盗资产在一定程度上难以追回。因此，钱包的安全性至关重要。

2020年8月9日，CertiK的安全工程师在DEF CON区块链安全大会上发表了演讲主题为：Exploit Insecure Crypto Wallet（加密钱包漏洞利用与分析）的主题报告，分享了对于加密钱包安全的见解。

加密钱包是一种帮助用户管理帐户和简化交易过程的应用程序。

有些区块链项目发布加密钱包应用程序来支持本链的发展——比如用于CertiK Chain的Deepwallet。

此外，还有像Shapeshift这样的公司，其构建了支持不同区块链协议的钱包。

从安全的角度来看，加密钱包最需重视的问题是防止攻击者窃取用户钱包的助记词和私钥等信息。

近一年来，CertiK技术团队对多个加密钱包进行了测试和研究，并在此分享针对基于软件不同类型的加密钱包进行安全评估的方法及流程。

加密钱包基础审计清单

要对一个应用程序进行评估，首先需要了解其工作原理→代码实现是否遵循最佳安全标准→如何对安全性不足的部分进行修正及提高。

CertiK技术团队针对加密钱包制作了一个基础审计清单，这份清单反映了所有形式的加密钱包应用（手机、web、扩展、桌面），尤其是手机和web钱包是如何生产和储存用户私钥的。

应用程序如何生成私钥？

应用程序如何以及在何处存储原始信息和私钥？

钱包连接到的是否是值得信任的区块链节点？

应用程序允许用户配置自定义区块链节点吗？如果允许，恶意区块链节点会对应用程序造成什么影响？

应用程序是否连接了中心化服务器？如果是，客户端应用会向服务器发送哪些信息？

应用程序是否要求用户设置一个安全性高的密码？

当用户试图访问敏感信息或转账时，应用程序是否要求二次验证？

应用程序是否使用了存在漏洞且可被攻击的第三方库？

有没有秘密（比如：API密钥，AWS凭证）在源代码存储库中泄漏？

有没有明显的不良代码实现（例如对密码学的错误理解）在程序源代码中出现？

应用服务器是否强制TLS连接？

手机钱包

相比于笔记本电脑，手机等移动设备更容易丢失或被盗。

在分析针对移动设备的威胁时，必须考虑攻击者可以直接访问用户设备的情况。

在评估过程中，如果攻击者获得访问用户设备的权限，或者用户设备感染恶意软件，我们需要设法识别导致账户和密码资产受损的潜在问题。

除了基础清单以外，以下是在评估手机钱包时要增加检查的审计类目：

应用程序是否警告用户不要对敏感数据进行截屏——在显示敏感数据时，安卓应用是否会阻止用户截屏？iOS应用是否警告用户不要对敏感数据进行截屏？

应用程序是否在后台截图中泄漏敏感信息？

应用程序是否检测设备是否越狱/root？

应用程序是否锁定后台服务器的证书？

应用程序是否在程序的log中记录了敏感信息？

应用程序是否包含配置错误的deeplink和intent，它们可被利用吗?

应用程序包是否混淆代码？

应用程序是否实现了反调试功能?

应用程序是否检查应用程序重新打包?

(iOS)储存在iOS Keychain中的数据是否具有足够安全的属性？

应用程序是否受到密钥链数据持久性的影响?

当用户输入敏感信息时，应用程序是否禁用自定义键盘?

应用程序是否安全使用“webview”来加载外部网站？

Web钱包

对于一个完全去中心化的钱包来说，Web应用程序逐渐成为不太受欢迎的选择。MyCrypto不允许用户在web应用程序中使用密钥库/助记词/私钥访问钱包，MyEtherWallet也同样建议用户不要这样做。

与在其他三种平台上运行的钱包相比，以web应用程序的形式对钱包进行钓鱼攻击相对来说更容易；如果攻击者入侵了web服务器，他可以通过向web页面注入恶意的JavaScript，轻松窃取用户的钱包信息。

然而，一个安全构建并经过彻底测试的web钱包依旧是用户管理其加密资产的不二之选。

除了上面常规的基础审计类目之外，我们在评估客户端web钱包时，还列出了以下需要审计的类目列表：

应用程序存在跨站点脚本XSS漏洞吗？

应用程序存在点击劫持漏洞吗？

应用程序有没有有效的Content Security Policy？

应用程序存在开放式重定向漏洞吗？

应用程序存在HTML注入漏洞吗？

现在网页钱包使用cookie的情况很少见，但如果有的话，应检查：

Cookie属性

跨站请求伪造（CSRF）

跨域资源共享（CORS）配置错误

该应用程序是否包含除基本钱包功能之外的其他功能? 这些功能存在可被利用的漏洞吗？

OWASP Top 10中未在上文提到的漏洞。

扩展钱包

Metamask是最有名和最常用的加密钱包之一，它以浏览器扩展的形式出现。

扩展钱包在内部的工作方式与web应用程序非常相似。

不同之处在于它包含被称为content script和background script的独特组件。

网站通过content script和background script传递事件或消息来与扩展页面进行交流。

在扩展钱包评估期间，最重要的事情之一就是测试一个恶意网站是否可以在未经用户同意的情况下读取或写入属于扩展钱包的数据。

除了基础清单以外，以下是在评估扩展钱包时要增加检查的审计类目：

扩展要求了哪些权限？

扩展应用如何决定哪个网站允许与扩展钱包进行交流？

扩展钱包如何与web页面交互？

恶意网站是否可以通过扩展中的漏洞来攻击扩展本身或浏览器中其他的页面？

恶意网站是否可以在未经用户同意的情况下读取或修改属于扩展的数据？

扩展钱包存在点击劫持漏洞吗？

扩展钱包（通常是background script）在处理消息之前是否已检查消息来源？

应用程序是否实现了有效的内容安全策略?

Electron桌面钱包

在编写了web应用程序的代码之后，为什么不用这些代码来建造一个Electron中桌面应用程序呢？

在以往测试过的桌面钱包中，大约80%的桌面钱包是基于Electron框架的。在测试基于Electron的桌面应用程序时，不仅要寻找web应用程序中可能存在的漏洞，还要检查Electron配置是否安全。

CertiK曾针对Electron的桌面应用程序漏洞进行了分析，你可以点击访问此文章了解详情。

以下是基于Electron的桌面钱包受评估时要增加检查的审计类目：

应用程序使用什么版本的Electron？

应用程序是否加载远程内容？

应用程序是否禁用“nodeIntegration”和“enableRemoteModule”？

应用程序是否启用了“contextisolation”, “sandbox” and “webSecurity”选项？

应用程序是否允许用户在同一窗口中从当前钱包页面跳转到任意的外部页面？

应用程序是否实现了有效的内容安全策略？

preload script是否包含可能被滥用的代码？

应用程序是否将用户输入直接传递到危险函数中(如“openExternal”)？

应用程序会使不安全的自定义协议吗?

服务器端漏洞检查列表

在我们测试过的加密钱包应用程序中，有一半以上是没有中心化服务器的，他们直接与区块链节点相连。

CertiK技术团队认为这是减少攻击面和保护用户隐私的方法。

但是，如果应用程序希望为客户提供除了帐户管理和令牌传输之外的更多功能，那么该应用程序可能需要一个带有数据库和服务器端代码的中心化服务器。

服务器端组件要测试的项目高度依赖于应用程序特性。

根据在研究以及与客户接触中发现的服务器端漏洞，我们编写了下文的漏洞检查表。当然，它并不包含所有可能产生的服务器端漏洞。

认证和授权

KYC及其有效性

竞赛条件

云端服务器配置错误

Web服务器配置错误

不安全的直接对象引用(IDOR)

服务端请求伪造(SSRF)

不安全的文件上传

任何类型的注入(SQL，命令，template)漏洞

任意文件读/写

业务逻辑错误

速率限制

拒绝服务

信息泄漏

总结

随着技术的发展，黑客们实施的欺诈和攻击手段也越来越多样化。

CertiK安全技术团队希望通过对加密钱包安全隐患的分享让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。

现阶段，许多开发团队对于安全的问题重视程度远远低于对于业务的重视程度，对自身的钱包产品并未做到足够的安全防护。通过分享加密钱包的安全审计类目，CertiK期望加密钱包项目方对于产品的安全标准拥有清晰的认知，从而促进产品安全升级，共同保护用户资产的安全性。

数字货币攻击是多技术维度的综合攻击，需要考虑到在数字货币管理流通过程中所有涉及到的应用安全，包括电脑硬件、区块链软件，钱包等区块链服务软件，智能合约等。

加密钱包需要重视对于潜在攻击方式的检测和监视，避免多次受到同一方式的攻击，并且加强数字货币账户安全保护方法，使用物理加密的离线冷存储（cold storage）来保存重要数字货币。除此之外，需要聘请专业的安全团队进行网络层面的测试，并通过远程模拟攻击来寻找漏洞。

TrustWallet是币安的官方钱包。Trust是一款移动端应用程序，它的界面干净整洁，安全性高，设计用于促进具备不同程度区块链知识的用户对加密货币的采用。Trust提供一款可发送、接收和储存加密资产的可靠钱包，其内置的去中心化应用程序（dApp）浏览器可用于与dApp通信，并直接在智能手机或平板电脑上交易加密货币和收藏品。

TrustWallet是适用于ios和Android设备的独立应用程序，允许用户管理其加密货币并与去中心化应用程序(DApps)(包括DEX)进行交互。TrustWallet目前在国内主流应用商城，360手机助手、腾讯应用宝、OPPO软件商店、华为应用商店、小米应用商店中，都没有下载渠道。只能通过官网、GooglePlay以及苹果APPStore下载。

作为以太坊钱包，TrustWallet支持存储的虚拟数字币资产主要为ERC20和ERC223代币，目前，通过其信托钱包的应用程序可以访问在以太坊基础上的超3万个代币。

相比此前测评的钱包给出的用户需知和新手提示，TrustWallet设置得开门见山。创建钱包前没有任何风险提示，点击创建钱包直接跳至备份助记词页面。虽然私钥助记词页面无法截屏，但该钱包为助记词设置了「复制」功能，点击后弹出系统分享页面，可分享至近20个应用内，可以分享至社交App和信息应用内。

下面是常规的助记词验证，只要将助记词按照正确顺序排列就备份完毕。创建和备份的步骤非常简单，不需要用户注册应用登陆账号和密码等，流程异常精简。但整个过程没有任何的专业名词解释和风险提醒，对小白用户很不友好。

TrustWallet的页面非常简单，只有3部分内容。对应的功能也很少，集中在存储数字资产。页面会显示相关币种的实时价格，但没有趋势图。

除了用户设置和钱包外，另一大功能就是DApps。在这个板块，其链接了EASYTRADE、KyberNetwork、CanWork、Indorse、Multitokens等虚拟数字货币交易所、社交软件、应用市场等。其中以EASYTRADE为代表，它链接了11个交易所，算是内置了一个交易所。

TrustWallet没有开通国内的社交渠道，但在国外Twitter、Telegram等较为活跃，日常信息和行业信息都有及时更新。

整体来看，尽管缺少新手提示和风险提醒，TrustWallet的简单设置对新手来说很容易上手。但从功能上来讲，集中于数字资产存管过于简单的限制还是难以满足老手们

加密资产放钱包安全吗是很多人头疼的问题，尤其是在理解和现实的冲突方面，安全的加密资产也同样面临着相似的问题，关注我们，为您服务，是我们的荣幸！