小美 
最近,一位之前一直在寻找它的用户在边肖向我们提出了一个问题。我相信这也是很多币圈朋友经常疑惑的问题:如果Gatehub钱包能';t登录?带着这个问题,让专业的边肖告诉你原因。
1。打开RippleTrade.com,然后单击迁移到GateHub。
2。单击注册在GateHub上注册一个帐户。如果您已经注册,然后选择登录以登录。成功登录后,会出现以下界面。本页显示Gatehub上的私钥。当前页面不会再次跳转。要执行以下操作,您需要进入邮箱认证的注册邮箱。
3。打开注册邮箱,会有一封验证邮件。单击激活帐户以验证电子邮件。
4。单击“登录”以登录帐户
5。单击开始迁移。,页面会跳转到RippleTrade的登录页面。您需要在Gatehub上再次输入密码,然后输入。
6。单击蓝色按钮"迁移"进入rippletrade的登录界面。
7。单击迁移帐户。该页面将返回到GateHub帐户页面。这时候就可以看到涟漪的平衡了。一旦迁移,涟漪交易将无效。
8。成功迁移,单击继续,或关闭。
近年来,数字钱包安全事件频发。
2019年11月19日,ArsTechnica报道,两个加密货币钱包的数据泄露,220万账户信息被盗。安全研究员特洛伊亨特证实被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。
这已经不是Gatehub第一次遭遇数据泄露了。据报道,去年6月黑客入侵了大约100个XRP账本钱包,导致近1000万美元被盗。
2019年3月29日,比瑟姆布失窃案引起轩然大波。据推测这件事的起因是因为Bithumb拥有的g4ydomrxhege账号的私钥被黑客窃取。
随即,黑客将盗取的资金分散到各个交易所,包括火币、HitBTC、WB、EXmo等。根据非官方数据和用户估计比瑟姆遭受了高达300万EOS币(约1300万美元)和2000万XRP币(约600万美元)的损失。
由于数字货币的匿名性和去中心化,一定程度上难以追回被盗资产。因此钱包的安全性很重要。2020年8月9日CertiK'的安全工程师在DEFCON区块链安全大会上发表主题演讲:利用不安全的加密钱包。,分享对加密钱包安全性的见解。
Encryptedwallet是一款帮助用户管理账户和简化交易流程的应用程序。
一些区块链项目发布加密钱包应用程序以支持该链的开发——,如CertiK链的Deepwallet。
另外还有Shapeshift这样的公司。,它构建支持不同区块链协议的钱包。
从安全性的角度来看,加密钱包最重要的问题是防止攻击者窃取用户的助记符和私钥';钱包。
过去一年,CertiK技术团队对几款加密钱包进行了测试和研究,分享了基于软件对不同类型加密钱包进行安全评估的方法和流程。
加密钱包的基本审计列表
应该评估一个应用程序。首先需要了解它的工作原理代码实现是否遵循最佳安全标准安全性不足的部分如何纠正和改进。
CertiK技术团队制定了一份加密钱包的基本审计清单。这个列表反映了所有形式的加密钱包应用(手机、web、扩展、桌面),尤其是手机和web钱包,是如何产生和存储用户的';私钥。
应用程序如何生成私钥?
应用程序如何以及在哪里存储原始信息和私钥?
钱包是否连接到受信任的区块链节点?
应用程序是否允许用户配置自定义区块链节点?如果允许的话,恶意区块链节点会对应用产生什么影响?
应用程序是否连接到中央服务器?如果是,客户端应用程序将向服务器发送什么信息?
应用程序是否要求用户设置高安全性密码?
当用户试图访问敏感信息或转账时,应用程序是否需要二次身份认证?
应用程序是否使用了易受攻击的第三方库?
有没有什么秘密(比如API密匙),AWS凭据)在源代码库中泄露?
程序源代码中是否存在明显的不良代码实现(比如对密码学的误解)?
应用服务器是否强制TLS连接?
手机钱包
与笔记本电脑相比,手机等移动设备更容易丢失或被盗。
在分析针对移动设备的威胁时,需要考虑攻击者可以直接访问用户设备。
在评估期间,如果攻击者获得用户的访问权';的设备,,或者用户设备感染了恶意软件,我们需要尝试识别对帐户和密码资产造成损害的潜在问题。
除了基本列表之外,在评估移动钱包时还应添加以下审核类别:
应用156是否警告用户不要截屏敏感数据699137803354安卓应用在显示敏感数据时会阻止用户截屏吗?iOS应用是否警告用户不要截图敏感数据?
应用在后台截图中是否泄露敏感信息?
应用程序是否检测设备是否越狱/root?
应用是否锁定后台服务器的证书?
应用程序是否记录程序中的敏感信息';s日志?
应用程序是否包含错误配置的deeplink和intent,它们是否会被利用?
应用包是否混淆了代码?
应用是否实现了反调试的功能?
应用程序是否检查应用程序重新打包?
(iOS)iOS钥匙串中存储的数据是否有足够的安全属性?
应用程序是否受到钥匙链数据持久性的影响?
当用户输入敏感信息时,应用程序是否禁用自定义键盘?
应用程序是否安全地使用"webview"要加载外部网站?
Web钱包
对于一个完全去中心化的钱包来说,Web应用正逐渐成为一个不太受欢迎的选择。MyCrypto不允许用户在web应用程序中使用密钥库/助记符/私钥访问钱包。MyEtherWallet也建议用户不要这样做。
相对于运行在其他三个平台上的钱包,以web应用的形式对钱包进行钓鱼攻击相对更容易;如果攻击者入侵web服务器他可以轻而易举地偷走用户';通过将恶意JavaScript注入网页来获取钱包信息。
然而,一个安全构建且经过全面测试的网络钱包仍然是用户管理其加密资产的最佳选择。
除了以上通用的基本审计类别,我们在评估客户端webwallet时,还列出了以下需要审计的类别:
应用中是否存在跨站脚本XSS漏洞?
应用是否存在点击劫持漏洞?
应用程序是否具有有效的内容安全策略?
应用程序中是否存在开放重定向漏洞?
应用中是否存在HTML注入漏洞?
目前在web钱包中使用Cookie的很少,但是如果有,要检查:
Cookie属性
跨站请求伪造(CSRF)
跨域资源共享(CORS)配置错误
。除了基本的钱包功能之外,应用程序是否还包括其他功能?这些函数有没有漏洞可以利用?
上面没有提到的OWASP前10大漏洞。
扩展钱包
metamask是最著名也是最常用的加密钱包之一,以浏览器扩展的形式出现。
扩展钱包的内部工作方式与web应用程序非常相似。
不同的是,它包含独特的组件,称为内容脚本和后台脚本。
网站通过内容脚本和后台脚本传递事件或消息,与扩展页面进行通信。
在扩展钱包评估期间最重要的事情之一是测试恶意网站是否可以在没有用户的情况下读取或写入属于扩展钱包的数据';的同意。
除了基本列表之外,在评估扩展wallet时还应添加以下审计类别:
扩展需要什么权限?
扩展应用如何决定允许哪个网站与扩展钱包通信?
扩展钱包如何与网页交互?
恶意网站能否通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面?
恶意网站可以在没有用户的情况下读取或修改属于该扩展的数据吗';s的同意?
扩展钱包是否存在点击劫持漏洞?
扩展钱包(通常是后台脚本)在处理消息之前是否检查了消息的来源?
应用程序是否实施了有效的内容安全策略?电子桌面钱包
写完了web应用的代码,为什么不用这段代码在电子里构建一个桌面应用呢?
过去测试的桌面钱包,大约80%是基于电子框架的。。在测试基于电子的桌面应用程序时,我们不仅要寻找web应用程序中可能存在的漏洞,还要检查电子配置是否安全。
CertiK分析了Electron'的桌面应用程序。详情可以点击访问这篇文章。以下是评估基于电子的桌面钱包时要添加的审计类别:
应用程序使用哪个版本的电子设备?
应用程序是否加载远程内容?
应用程序是否禁用"节点集成"和"enableRemoteModule"?
IstheapplicationenabledwithContextIsolation,SandboxandwebSecurityoptions?
应用程序是否允许用户从当前钱包页面跳转到同一窗口中的任何外部页面?
应用程序是否实施了有效的内容安全策略?
预加载脚本是否包含可能被滥用的代码?
应用程序是否将用户输入直接传递给危险的函数(例如"打开外部")?
应用程序是否制定了不安全的自定义协议?
服务器端漏洞检查列表
我们测试过的加密钱包应用中,超过一半没有集中式服务器,它们直接与区块链节点相连。
CertiK技术团队认为这是一种减少攻击面和保护用户的方法';隐私。
但是如果应用程序希望为客户提供比帐户管理和令牌传输更多的功能,它可能需要一个带有数据库和服务器端代码的集中式服务器。
服务器端组件要测试的项目高度依赖于应用程序特性。
根据调研和与客户接触中发现的服务器端漏洞,我们整理了以下漏洞清单。当然,它并不包含所有可能的服务器端漏洞。
认证和授权
KYC及其效力
竞赛条件
云服务器配置错误
Web服务器配置错误
不安全直接对象引用(IDOR)
服务器请求伪造(SSRF)
任何类型的注入(SQL,command,template)漏洞
任意文件读/写
业务逻辑错误
速率限制
总结
随着技术的发展,黑客实施的诈骗和攻击手段越来越多样化。
CertiK安全技术团队希望通过分享加密钱包的隐患,让用户更多了解数字货币钱包的安全问题,提高警惕。
现阶段很多开发团队对安全的重视程度远远低于对业务的重视程度,没有对自己的钱包产品做足够的安全防护。通过分享加密钱包的安全审计类别,CertiK希望加密钱包项目各方对产品安全标准有一个清晰的理解。从而推动产品安全升级,共同保护用户资产安全。
数字货币攻击是一种多技术维度的综合攻击,需要考虑数字货币中管理和流通过程中涉及的所有应用安全,包括计算机硬件和区块链软件。、钱包等区块链服务软件、智能合约等。
加密钱包需要注意对潜在攻击的检测和监控,避免多次被同样的方式攻击,加强数字货币账户的安全保护手段。,使用物理加密离线冷存储(coldstorage)保存重要数字货币。此外,还需要聘请专业的安全团队在网络层面进行测试,通过远程模拟攻击来发现漏洞。
涟漪币是涟漪网的基础货币,可以在整个涟漪网流通,总量1000亿,随着交易的增加逐渐减少。RippleLabs(前身为OpenCoin)是Ripplecoin的运营公司。
涟波币是涟波系统中唯一的通用货币,区别于涟波系统中的其他货币。其他货币,如CNY和美元,不能跨网关兑现。也就是说,网关A发行的CNY只能在网关A套现,如果想在网关B套现,必须通过涟漪系统的挂单功能转换成网关B的CNY,才可以从网关B提现,涟漪币完全没有这方面的限制,在涟漪系统中是通用的。
近年来,数字钱包安全事件频发。
2019年11月19日,ArsTechnica报道,两个加密货币钱包的数据泄露,220万账户信息被盗。安全研究员特洛伊亨特证实被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。
这已经不是Gatehub第一次遭遇数据泄露了。据报道,去年6月黑客入侵了大约100个XRP账本钱包,导致近1000万美元被盗。
2019年3月29日,比瑟姆布失窃案引起轩然大波。据推测这件事的起因是因为Bithumb拥有的g4ydomrxhege账号的私钥被黑客窃取。
随即,黑客将盗取的资金分散到各个交易所,包括火币、HitBTC、WB、EXmo等。根据非官方数据和用户估计比瑟姆遭受了高达300万EOS币(约1300万美元)和2000万XRP币(约600万美元)的损失。
由于数字货币的匿名性和去中心化,一定程度上难以追回被盗资产。因此钱包的安全性很重要。2020年8月9日CertiK'的安全工程师在DEFCON区块链安全大会上发表主题演讲:利用不安全的加密钱包。,分享对加密钱包安全性的见解。
Encryptedwallet是一款帮助用户管理账户和简化交易流程的应用程序。
一些区块链项目发布加密钱包应用程序以支持该链的开发——,如CertiK链的Deepwallet。
另外还有Shapeshift这样的公司。,它构建支持不同区块链协议的钱包。
从安全性的角度来看,加密钱包最重要的问题是防止攻击者窃取用户的助记符和私钥';钱包。
过去一年,CertiK技术团队对几款加密钱包进行了测试和研究,分享了基于软件对不同类型加密钱包进行安全评估的方法和流程。
加密钱包的基本审计列表
应该评估一个应用程序。首先需要了解它的工作原理代码实现是否遵循最佳安全标准安全性不足的部分如何纠正和改进。
CertiK技术团队制定了一份加密钱包的基本审计清单。这个列表反映了所有形式的加密钱包应用(手机、web、扩展、桌面),尤其是手机和web钱包,是如何产生和存储用户的';私钥。
应用程序如何生成私钥?
应用程序如何以及在哪里存储原始信息和私钥?
钱包是否连接到受信任的区块链节点?
应用程序是否允许用户配置自定义区块链节点?如果允许的话,恶意区块链节点会对应用产生什么影响?
应用程序是否连接到中央服务器?如果是,客户端应用程序将向服务器发送什么信息?
应用程序是否要求用户设置高安全性密码?
当用户试图访问敏感信息或转账时,应用程序是否需要二次身份认证?
应用程序是否使用了易受攻击的第三方库?
有没有什么秘密(比如API密匙),AWS凭据)在源代码库中泄露?
程序源代码中是否存在明显的不良代码实现(比如对密码学的误解)?
应用服务器是否强制TLS连接?
手机钱包
与笔记本电脑相比,手机等移动设备更容易丢失或被盗。
在分析针对移动设备的威胁时,需要考虑攻击者可以直接访问用户设备。
在评估期间,如果攻击者获得用户的访问权';的设备,,或者用户设备感染了恶意软件,我们需要尝试识别对帐户和密码资产造成损害的潜在问题。
除了基本列表之外,在评估移动钱包时还应添加以下审核类别:
应用是否警告用户不要截图敏感数据?——安卓应用在显示敏感数据时是否会阻止用户截图?iOS应用是否警告用户不要截图敏感数据?
应用在后台截图中是否泄露敏感信息?
应用程序是否检测设备是否越狱/root?
应用是否锁定后台服务器的证书?
应用程序是否记录程序中的敏感信息';s日志?
应用程序是否包含错误配置的deeplink和intent,它们是否会被利用?
应用包是否混淆了代码?
应用是否实现了反调试的功能?
应用程序是否检查应用程序重新打包?
(iOS)iOS钥匙串中存储的数据是否有足够的安全属性?
应用程序是否受到钥匙链数据持久性的影响?
当用户输入敏感信息时,应用程序是否禁用自定义键盘?
应用程序是否安全地使用"webview"要加载外部网站?
网络钱包
对于完全去中心化的钱包,Web应用程序正成为一个不太受欢迎的选择。MyCrypto不允许用户在web应用中使用keystore/助记符/私钥访问钱包,MyEtherWallet也建议用户不要这样做。
相对于其他三个平台上运行的钱包,以web应用的形式对钱包进行钓鱼攻击相对更容易;如果攻击者入侵web服务器,他可以将恶意的JavaScript注入到网页中。,轻松抢走用户';的钱包信息。
然而,一个安全构建且经过全面测试的网络钱包仍然是用户管理其加密资产的最佳选择。
除了上述通用的基本审计类别,当我们评估客户端webwallet时,,并列出了以下要审核的类别:
应用程序中是否存在跨站点脚本XSS漏洞?
应用是否存在点击劫持漏洞?
应用程序是否具有有效的内容安全策略?
应用程序中是否存在开放重定向漏洞?
应用中是否存在HTML注入漏洞?
目前在web钱包中使用Cookie的很少,但是如果有,要检查:
Cookie属性
跨站请求伪造(CSRF)
跨域资源共享(CORS)配置错误
。除了基本的钱包功能之外,应用程序是否还包括其他功能?这些函数有没有漏洞可以利用?
上面没有提到的OWASP前10大漏洞。
扩展钱包
metamask是最著名也是最常用的加密钱包之一,以浏览器扩展的形式出现。
扩展钱包的内部工作方式与web应用程序非常相似。
不同的是,它包含独特的组件,称为内容脚本和后台脚本。
网站通过内容脚本和后台脚本传递事件或消息,与扩展页面进行通信。
在扩展钱包评估期间最重要的事情之一是测试恶意网站是否可以在没有用户的情况下读取或写入属于扩展钱包的数据';的同意。
除了基本列表之外,在评估扩展wallet时还应添加以下审计类别:
扩展需要什么权限?
扩展应用如何决定允许哪个网站与扩展钱包通信?
扩展钱包如何与网页交互?
恶意网站能否通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面?
恶意网站可以在没有用户的情况下读取或修改属于该扩展的数据吗';s的同意?
扩展钱包是否存在点击劫持漏洞?
扩展钱包(通常是后台脚本)在处理消息之前是否检查了消息的来源?
应用程序是否实施了有效的内容安全策略?电子桌面钱包
写完了web应用的代码,为什么不用这段代码在电子里构建一个桌面应用呢?
过去测试的桌面钱包,大约80%是基于电子框架的。。在测试基于电子的桌面应用程序时,我们不仅要寻找web应用程序中可能存在的漏洞,还要检查电子配置是否安全。
CertiK分析了Electron'的桌面应用程序。详情可以点击访问这篇文章。以下是评估基于电子的桌面钱包时要添加的审计类别:
应用程序使用哪个版本的电子设备?
应用程序是否加载远程内容?
应用程序是否禁用"节点集成"和"enableRemoteModule"?
IstheapplicationenabledwithContextIsolation,SandboxandwebSecurityoptions?
应用程序是否允许用户从当前钱包页面跳转到同一窗口中的任何外部页面?
应用程序是否实施了有效的内容安全策略?
预加载脚本是否包含可能被滥用的代码?
应用程序是否将用户输入直接传递给危险的函数(例如"打开外部")?
应用程序是否制定了不安全的自定义协议?
服务器端漏洞检查列表
我们测试过的加密钱包应用中,超过一半没有集中式服务器,它们直接与区块链节点相连。
CertiK技术团队认为这是一种减少攻击面和保护用户的方法';隐私。
但是如果应用程序希望为客户提供比帐户管理和令牌传输更多的功能,它可能需要一个带有数据库和服务器端代码的集中式服务器。
服务器端组件要测试的项目高度依赖于应用程序特性。
根据调研和与客户接触中发现的服务器端漏洞,我们整理了以下漏洞清单。当然,它并不包含所有可能的服务器端漏洞。
认证和授权
KYC及其效力
竞赛条件
云服务器配置错误
Web服务器配置错误
不安全直接对象引用(IDOR)
服务器请求伪造(SSRF)
任何类型的注入(SQL,command,template)漏洞
任意文件读/写
业务逻辑错误
速率限制
总结
随着技术的发展,黑客实施的诈骗和攻击手段越来越多样化。
CertiK安全技术团队希望通过分享加密钱包的隐患,让用户更多了解数字货币钱包的安全问题,提高警惕。
现阶段很多开发团队对安全的重视程度远远低于对业务的重视程度,没有对自己的钱包产品做足够的安全防护。通过分享加密钱包的安全审计类别,CertiK希望加密钱包项目各方对产品安全标准有一个清晰的理解。从而推动产品安全升级,共同保护用户资产安全。
数字货币攻击是一种多技术维度的综合攻击,需要考虑数字货币中管理和流通过程中涉及的所有应用安全,包括计算机硬件和区块链软件。、钱包等区块链服务软件、智能合约等。
加密钱包需要注意对潜在攻击的检测和监控,避免多次被同样的方式攻击,加强数字货币账户的安全保护手段。,使用物理加密离线冷存储(coldstorage)保存重要数字货币。此外,还需要聘请专业的安全团队在网络层面进行测试,通过远程模拟攻击来发现漏洞。
我相信在介绍完如何做如果Gatehub钱包可以';如果Gatehubwallet不能';登录,您将更透彻地了解如何做。不要登录。感谢大家的支持和关注!
