无论是中心化还是去中心化钱包, 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试,针对数字钱包的安全审计,零时科技安全团队的审计项目包括但不限于如下测试项:

1、网络和通信安全测试

  • 网络节点应达到及时发现和抵抗网络攻击的功能;

2、钱包运行环境安全

  • 钱包能够对操作系统进行已知重大漏洞进行检测,虚拟机检测,完整性检测;
  • 数字钱包需具有第三方程序劫持检测功能,防止第三方程序劫持钱包盗取相关用户信息。

3、钱包认证安全

  • 钱包认证过程中必须设置钱包解锁密码用于解锁钱包,防止设备丢失后钱包信息被窃取;
  • 使用钱包进行交易签名必须设置支付密码,防止解锁后解密的私钥被窃取;
  • 使用钱包日志功能必须设置日志密码,防止钱包密码丢失后攻击者直接清除钱包操作日志;
  • 交易密码需使用多因素认证,例如:指纹、面部识别、OTP令牌、短信验证码等,防止密码泄露导致私钥丢失。

4、钱包交易安全

  • 钱包发出的所有交易必须进行签名,签名时必须通过输入支付密码解密私钥,交易签名生成后必须清除内存中解密后的私钥,防止内存中的私钥被窃取而泄漏等。

5、钱包日志安全

  • 为了方便用户进行审计钱包操作行为,防止异常操作和未授权的操作,需记录钱包的操作日志,同时钱包日志必须通过脱敏处理,不得含有机密信息。

6、节点安全审计

  • 钱包节点应能记录用户的连接记录、交易记录,能够保存审计记录的过程和结果,便于管理员进行查询;
  • 必须对节点服务器进行安全设计和安全加固。

7、节点接口安全审计

  • 接口需要对数据进行签名,防止黑客对数据被篡改;
  • 接口访问需要添加token认证机制,防止黑客进行重放攻击;
  • 节点接口需要对用户连接速率进行限制,防止黑客模拟用户操作进行CC攻击。

8、数据存储安全

  • 钱包生成的私钥必须通过加密算法加密后才能进行存储,同时钱包的本地静态文件不得含有明文的敏感信息。

9、数据的备份与回复

  • 钱包生成的私钥或者助记词,必须在确保安全的情况下进行备份处理,避免私钥意外丢失导致资金无法找回。
  • 如果移动应用能够被备份出来,就可以使用计算性能更加强大的机器对私钥/助记词进行暴力破解。

10、静态代码安全审计

  • 钱包APP必须进行正规的代码审计,以确保钱包不会有额外功能权限用来收集用户私钥,保证APP本身的安全性。

零时 || 数字钱包该如何进行安全审计?相关推荐

  1. 零时 || 数字钱包面临的安全风险有哪些?

    区块链数字钱包存在多种形式,面临的安全风险也是多样性的,主要面临的安全风险包括但不限于如下几方面: 1.运行环境的安全风险 加密数字货币钱包最核心的文件--私钥/助记词是存储在终端设备上的,无论是PC ...

  2. 区块链安全100问 |​ 第四篇:保护数字钱包安全,防止资产被盗

    ​零时科技--专注于区块链安全领域 深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安 ...

  3. FB高管:计划明年推出数字货币Diem和数字钱包Novi

    腾讯科技讯 12月8日, Facebook金融服务部门Facebook Financial(或称F2)现任负责人大卫·马库斯(David Marcus)表示,Facebook支持的加密货币Diem和数 ...

  4. 2019 Q1数字钱包行业报告 | TokenInsight

    目前数字钱包用户已突破3,400万,可查的钱包项目约700个:钱包自身除去存储功能外,已建立基于交易.信息服务.DApp对接等相对立体的生态结构,数字钱包行业进入红海期. 以下为要点总结: 1. 基础 ...

  5. 如何通过UTON WALLET数字钱包创建和使用你的元宇宙身份

    最近很多玩家登录UTONMOS APP的时候,发现多了一个「数字钱包登录」. 数字钱包?这是什么? 随着科技创新和数字经济的不断发展,我们正在从信息互联网步入价值互联网,越来越多的人意识到数据和隐私安 ...

  6. OMNIPAY(欧米派、欧米链)-全球领先的多链数字钱包

    OMNIPAY(欧米派.欧米链)-改变世界的未来数字钱包 OMNIPAY(欧米派.欧米链)-全球首个分布式数字资产加密支付系统 存储.交易.支付.弹指间 分布式多币种钱包 OMNIPAY(欧米派.欧米 ...

  7. 数字钱包(IOST)使用指南

    TokenPocket 做为一款多链钱包,已成为越来越多人进入区块链世界的重要入口,随着 TokenPocket 生态布局的深入,我们的业务范围不仅仅局限于数字钱包,已成为涵盖数字钱包.数字资产交易. ...

  8. 数字钱包助记词生成公私钥流程分析

    salt : 通过生成一些随机的文本将其附加到密码上来生成 Hash, 主要目的是用来防止预先被计算好的彩虹表攻击. 1.助记词根据生成流程,可看数字钱包助记词生成浅析,返推算出随机byte数组. 2 ...

  9. Taproot升级在即!门限签名技术将给数字钱包带来什么?

    继四年前比特币隔离见证升级之后,今年十一月份的BTC Taproot升级将为比特币带来巨大的技术革新. Taproot是什么?GregoryMaxwell的原始Taproot提案标题是这样说的:Tap ...

最新文章

  1. 最全的CSS浏览器兼容问题整理
  2. 算法提高课-图论-单源最短路的综合应用-AcWing 342. 道路与航线:最短路dijkstra、拓扑排序 、综合题、好题
  3. mysql使用小技巧_MySQL使用小技巧
  4. 本地线程分配缓冲_线程本地分配缓冲区
  5. 福州大学计算机专业考研,2015年福州大学计算机考研经验贴
  6. java redis 重连机制_redis在java中的客户端连接
  7. MongoDB DBA 实践6-----MongoDB的分片集群部署
  8. LoadRunner第一次压测实践后的心得体会 收获
  9. 小米手环如何连接苹果手机
  10. 服务器基础知识全解(汇总版)
  11. Android 利用canvas画各种图形(点、直线、弧、圆、椭圆、文字、矩形、多边形、曲线、圆角矩形)
  12. java pdf 图片_java实现PDF转图片的方法
  13. 逆向学习实战之--替换哈罗单车图片
  14. 2021全球与中国智能音频SoC芯片市场现状及未来发展趋势
  15. 本地web服务器配置(IIS)
  16. Python相对引用报错ImportError: attempted relative import with no known parent package的处理方法
  17. objc_msgSend流程分析之缓存查找
  18. 王者荣耀选手退役后转行程序员,自学的那种!网友:中国版“阿甘”
  19. 学生表:用顺序表实现
  20. 文本词频分析_Python初学

热门文章

  1. 支付渠道解释 - 麦腾支付它们是什么以及它们为什么重要
  2. 于刚上市庆典晚宴演讲:财富是数字 最值得珍惜的是人和事
  3. drf之day06:自动生成路由,action装饰器,登录接口的编写,局部认证,全局认证
  4. 宫格填数问题(暴力)
  5. 双语:值得永世珍藏的40句至理名言(四)
  6. oneinstack_OneinStack
  7. 学微积,讲历史,不做迷路人
  8. Android系统启动流程(nougat7.1.1_r6)
  9. Canvas实现雷达图效果
  10. three.js走进WebVR世界(二)之VREffect.js与VRControls.js