MAS:慢雾 | 钱包安全审计服务全面增加插件钱包安全审计项_FLUSD Stable Coin

近年来，加密钱包安全事件频发。

根据慢雾MistTrack所接触的受害者信息收集整理，钱包被盗的事件占比高达60%，显而易见钱包是最有利可图的目标，因此，钱包的安全性至关重要，当然，对钱包进行安全审计更是重中之重。

作为在区块链耕耘已久的一员，慢雾科技在区块链世界独特的安全架构方面拥有丰富且领先的实战经验。慢雾的相关安全服务已经覆盖超数十家行业内顶级的钱包，如imToken、HuobiWallet、RenrenBit钱包等。为了更好地增强各类加密钱包的安全性，慢雾科技在已有审计项的基础上进行扩展，新增了对扩展/插件钱包的审计。

下面让我们以问答形式来一睹为快！

插件钱包与常说的“钱包”有什么不同？

?

插件钱包是指基于浏览器(主要是GoogleChrome)开发的钱包。

慢雾首席信息安全官：针对比特浏览器用户被盗，已联合合作伙伴拦截部分在洗资金:金色财经报道，慢雾首席信息安全官 23pds 发推称，关于比特浏览器大量用户被盗的情况，目前我们已经联合合作伙伴成功拦截了一部分在洗的资金。 比特浏览器正在立案，立案成功慢雾会正式介入。[2023/8/30 13:05:42]

插件钱包管理的助记词/私钥是与DApp相互隔离的，理论上第三方组件(如：DApp或其他插件)很难通过技术手段突破隔离对插件钱包进行攻击，所以安全性有一定的保证。

插件钱包配置简单，使用更方便，在官方渠道下载安装后勾选开启插件，使用时点击图标就可进入钱包，并且使用钱包管理助记词/私钥。

插件钱包的助记词/私钥的管理操作更方便和安全，仅需要在插件钱包中"点点点"就能轻松的发起一笔转账，签名一笔交易，或者管理助记词/私钥。

慢雾：Transit Swap黑客攻击交易被抢跑，套利机器人获利超100万美元:10月1日消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为21816885，获利107万BUSD。套利机器人相关地址列表如下：0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前，在各方的共同努力下，黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址，建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系，共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

慢雾在插件钱包安全方面有什么研究？

?

慢雾安全团队从钱包生命周期“助记词/私钥的生成，助记词/私钥的存储，助记词/私钥的使用，助记词/私钥的备份，助记词/私钥的销毁”这五大过程的安全作为主要切入口进行安全研究，并梳理插件钱包安全的最佳实践，并在实战过程中挖掘了不少优质的插件钱包的攻击面。

慢雾：Spartan Protocol被黑简析:据慢雾区情报，币安智能链项目 Spartan Protocol 被黑，损失金额约 3000 万美元，慢雾安全团队第一时间介入分析，并以简讯的形式分享给大家参考：

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1，导致兑换池中产生巨大滑点；

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证，但是在添加流动性的时候存在一个滑点修正机制，在添加流动性时将对池的滑点进行修正，但没有限制最高可修正的滑点大小，此时添加流动性，由于滑点修正机制，获得的 LP 数量并不是一个正常的值；

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1，此时池子中的 WBNB 增多 SPT1 减少；

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子，然后进行移除流动性操作；

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币，由于步骤 5，此时会获得比添加流动性时更多的代币；

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值；

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP，此后攻击者只要再次移除流动性就能再次获得对应的两种代币；

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB，最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

如：

慢雾安全工程师：安全审计是目前保护DeFi项目安全最高性价比的方式:12月30日，在慢雾科技主办的Hacking Time区块链安全攻防峰会上，慢雾科技高级安全工程师yudan和Kong根据bZx最早期的两次闪电贷攻击案例，介绍了闪电贷基本的攻击形式——代币价格操纵，详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下，如何利用闪电贷另辟蹊径，通过操纵 LP Token的单价来进行获利。并通过慢雾被黑档案库与大家一起回顾了2020 DeFi被黑事件。

yudan和Kong认为，DeFi安全形势严峻，安全审计是目前保护项目安全最高性价比的方式。在当下DeFi黑暗森林里我们在临渊而行，需如履薄冰。[2020/12/30 16:04:29]

1.某些场景下可通过DApp页面获取助记词/私钥；

2.某些场景下可通过跨域方式获取助记词/私钥；

3.某些场景下可在钱包锁定后获取助记词/私钥；

4.某些场景下可构造签名数据进行假充值/假转账。

(攻击面很多，欢迎来撩:-))

慢雾对插件钱包的整体安全审计是什么样的？

?

慢雾安全团队对钱包的审计涵盖渗透测试内容，且比渗透测试服务更全面与精细。不仅会对目标项目进行漏洞发现提出修复方案，还会提出建议执行的安全增强点或最佳安全实践，以杜绝未来可能出现的安全风险。安全审计将提供更全面更多维的企业安全体系落地建设依据，并根据项目方需求出具专业的安全审计报告。具体可参考：

https://www.slowmist.com/service-wallet-security-audit.html

当慢雾在审计插件钱包时，慢雾在审什么？

?

对于任何一款钱包来说，账户安全/私钥安全都是极为重要的。因此，我们在对扩展/插件钱包进行审计时，仍然将重点放在助记词/私钥这一部分。具体可以参考下图：

插件钱包安全审计主要使用哪些测试方式？

?

我们主要采用“黑盒与灰盒结合为主，白盒为辅”的方式。

黑盒测试：站在外部从攻击者角度进行安全测试。

灰盒测试：通过脚本工具对代码模块进行安全测试，观察内部运行状态，挖掘弱点。

白盒测试：基于项目的源代码，进行脆弱性分析和漏洞挖掘。

如何理解漏洞等级？

?

严重漏洞：会对项目的安全造成重大影响。

高危漏洞：会影响项目的正常运行。

中危漏洞：会影响项目的运行。

低危漏洞：可能在特定场景中会影响项目的业务操作。

弱点：理论上存在安全隐患，但工程上极难复现。

增强建议：编码或架构存在更好的实践方法。

对插件钱包有什么展望？

?

随着区块链产业的多链多元化发展，插件钱包似乎也开辟了一条新赛道。其实慢雾陆陆续续审计过不少知名的插件钱包，例如：波场推出的第一款插件钱包TronLink、由星火矿池推出的GasNow、适配Alaya网络和PlatON网络的Samurai、ICON的第一个移动钱包MyIconWallet、以及DeBank团队于前不久推出的Rabby等等。目前对于插件钱包的发展，还是很可观的，非常值得关注。

有什么想对大家说的？

?

加密钱包审计重点在于解决常见的安全漏洞，规避可能出现的安全风险。作为用户，希望能增强安全意识，不要随意泄露助记词/私钥。作为项目方，对于安全问题的重视程度远远不够，希望加密钱包项目方对于安全标准能有更好的认识，与我们一起共同保护用户资产的安全。

来源链接：mp.weixin.qq.com

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/10227688.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

比尔·盖茨再谈ChatGPT：将改变我们的世界！

标签：MASOINCENCOINmetamask小狐狸钱包安全吗biocoin50CENT NETWORKFLUSD Stable Coin

狗狗币最新价格热门资讯