在Web3.0领域,移动钱包应用程序不断兴起,保护密钥安全变得极为紧迫,必须马上开展。我们需深入了解各类保护密钥的安全机制,以此守护用户资产安全。
Web3.0移动钱包安全重要性
Web3.0的发展速度很快,移动钱包应用程序成了用户管理数字资产的关键工具。然而,要是钱包私钥泄露了,资产就有被盗走的可能,损失难以估量。2022年,全球因钱包私钥泄露导致数字资产失窃的案件多达数千起,涉及金额超过数亿美元。所以,保障私钥安全十分紧迫。
S0级安全做法的漏洞
S0级做法会把用户的私人信息存放于应用程序的存储空间里,这些私人信息包括私钥和助记词等。这样一来,拥有特权的用户或者应用程序就能够随意访问存储文件,还能轻易提取私钥,进而完全控制钱包。我们要验证其漏洞,于是在已经root的安卓设备上安装了Bitcoin Wallet,TrustWallet钱包最新版本下载还安装了Simple Bitcoin来进行测试, ]TrustWallet钱包下载测试结果表明这种做法是极其危险的。
S1级保护的潜在风险
S1级别采用用户定义的密码,此密码用于加密存储私钥和助记词的文件。这么做能在一定程度上防止非特权用户或应用程序直接访问。然而,我们在root的安卓设备上安装了开源钱包Samourai,还使用了Frida,在应用启动时截获了加密密码,进而成功获取了私钥和助记词。这表明S1级保护并非绝对安全。
S2级保护的进一步措施
有些钱包应用为提升S2级保护的安全性,会检查移动设备是否被root,以此保护用户资产,若设备被root,可能存在安全风险,这时钱包应用能采取相应措施,比如限制操作等,这种检查可在一定程度上增强安全性,降低私钥泄露可能性,在一些安全性要求较高的场景中,这种做法很有必要。
S3级最高安全实践
移动钱包应用的最高级安全实践是采用专用的可信执行环境,也就是TEE,私钥信息存于TEE中,且仅在TEE中使用,TEE与主操作系统相隔离,只有供应商信任的代码能访问它,进而提供额外保护,同时,root检测能与Keystore系统相结合,进一步保护私人信息,保障用户资产安全。
https://www.wxdjhl.com专家测试与行业现状
CertiK专家团队分析了Web3.0钱包应用在移动设备面临的威胁,还测试了九个流行钱包应用程序。测试结果显示,多数主要钱包解决密钥存储问题时采用的是硬件支持的密钥保护技术。比如安卓上的Keystore系统,越来越多钱包开始运用这种安全级别更高的技术来保护用户私钥。
大家想一想,未来Web3.0移动钱包在安全方面,还会出现什么样创新的保护机制?
