中新網(wǎng)2月24日電 加密數(shù)字貨幣資產(chǎn)的安全性完全建立在加密數(shù)字錢包私鑰本身的安全性上，私鑰是唯一的數(shù)字資產(chǎn)憑證。因為私鑰一旦創(chuàng)建就不能修改，沒法重置，只要私鑰不丟失，資產(chǎn)就不會丟失。因此整個加密數(shù)字資產(chǎn)的安全性話題都是圍繞私鑰的存儲和使用來進行的。對于目前移動端錢包所使用的輕錢包模式來說，用戶終端私鑰存儲的安全性是非常核心和關(guān)鍵的問題，如果設(shè)計不當則有可能會導(dǎo)致私鑰的流失、資產(chǎn)的被盜。

基于獵豹移動發(fā)布的《2018全球加密數(shù)字貨幣錢包安全白皮書》內(nèi)容，我們首先對市面上的數(shù)字錢包產(chǎn)品在私鑰存儲問題上進行了安全分析，發(fā)現(xiàn)Bitcoin Wallet 和Jaxx Blockchain Wallet 兩款產(chǎn)品在私鑰存儲中存在巨大的安全漏洞。

Bitcoin Wallet 是一款非常著名的比特幣的錢包，用戶安裝量超過了50萬用戶，而且有著良好的口碑。但是在分析的時候發(fā)現(xiàn)，Bitcoin Wallet助記詞是以明文的方式存放在系統(tǒng)的/data/data/com.bitcoin.mwallet /files/profile 文件里面的。

也就是說Bitcoin Wallet已經(jīng)完全將資產(chǎn)的安全性交給了系統(tǒng)來保護，但是我們知道系統(tǒng)本身是非常復(fù)雜的，而且充滿了各種安全漏洞，只要利用一個漏洞就可以瞬間獲取到Bitcoin Wallet錢包的助記詞和私鑰。例如：只要你的手機里面有任何APP利用漏洞拿到了系統(tǒng)的ROOT權(quán)限，那么這個APP就可以瞬間拿到錢包的助記詞，導(dǎo)致數(shù)字資產(chǎn)可以隨時被盜取，而上述動作是完全可以在后臺發(fā)生的，用戶完全不知道；更可怕的是，即使沒有應(yīng)用有ROOT權(quán)限，只需將手機的充電端口連接到黑客控制的充電設(shè)備也可以在幾分鐘時間內(nèi)拿到錢包的助記詞，導(dǎo)致數(shù)字資產(chǎn)可以隨時被盜取。

根據(jù)獵豹移動提供的白皮書，存儲在用戶設(shè)備里面的私鑰/助記詞是必須使用安全的加密方法進行加密的，Bitcoin Wallet 作為一款知名的數(shù)字錢包，因為未能正確的加密存儲用戶設(shè)備里面的錢包的私鑰/助記詞，已經(jīng)讓超過50萬的用戶面臨極大的安全風險。

Jaxx是另一個著名的移動加密貨幣錢包，具有大量功能，包括支持多種貨幣類型，以及最近添加的數(shù)字貨幣兌換平臺，允許用戶在錢包內(nèi)兌換比特幣，以太幣和ERC20代幣。

在檢查Jaxx的數(shù)據(jù)備份機制時，我們發(fā)現(xiàn)了重大的安全漏洞，比Bitcoin Wallet更嚴重。 事實上，存儲在Jaxx中的私鑰可以被黑客竊取，只需很少的努力。

要獲取JAXX的私鑰文件，有2個步驟需要完成：1)獲取存儲私鑰的數(shù)據(jù)文件；2)對存儲私鑰的數(shù)據(jù)文件進行解密

步驟一：獲取存儲私鑰的數(shù)據(jù)文件

我們有2種方法可以獲取存儲私鑰的數(shù)據(jù)文件：

方法1)利用系統(tǒng)的備份機制，通過adb backup 命令或BackupManagerService 提供的API，就能夠把JAXX存儲私鑰的數(shù)據(jù)文件拿到手。這樣的安全漏洞的產(chǎn)生，是因為JAXX 開發(fā)團隊忽略了Android APP的一個重要的安全設(shè)置參數(shù)android:allowBackup 的使用，沒有正確的設(shè)置android:allowBackup 參數(shù)而導(dǎo)致安全漏洞出現(xiàn)。在獵豹移動發(fā)布的2018加密貨幣數(shù)字錢包安全白皮書里面，數(shù)據(jù)備份的安全風險是一個很容易被人忽視的內(nèi)容。

方法2)利用系統(tǒng)漏洞，繞過系統(tǒng)的安全邊界，拿到用于存儲私鑰的數(shù)據(jù)文件。

步驟二：對存儲私鑰的數(shù)據(jù)文件進行解密

JAXX 對存儲私鑰的數(shù)據(jù)文件使用了AES算法進行加密處理。在密鑰長度滿足一定條件且算法正常使用的情況下，AES加密以后的文件基本上是不可能被破解的。但是JAXX團隊對于AES加密算法使用上存在重大錯誤，沒有正確的使用AES加密算法。JAXX的AES加密用的關(guān)鍵參數(shù)是在代碼硬編碼的而不是按照一定安全規(guī)則隨機生成，導(dǎo)致只需要通過簡單的逆向分析能力就能夠拿到AES加密參數(shù)，然后對存儲私鑰的數(shù)據(jù)文件的內(nèi)容進行解密。下圖顯示了JAXX產(chǎn)品里面使用的固定的AES加密參數(shù)：

在完成上述2個步驟以后，JAXX錢包的私鑰文件就能夠非常輕而易舉的被攻擊者拿到，而且能夠輕而易舉的解密出來。

JAXX發(fā)布至今已經(jīng)有超過10萬用戶在使用，而且最新的更新里面還增加了對交易所的支持，可見用戶對于JAXX的喜愛還是很高的。但是因為沒有使用正確的安全設(shè)計理論，導(dǎo)致了JAXX這10萬用戶已經(jīng)處于極高的安全風險。

獵豹移動發(fā)布的加密數(shù)字貨幣錢包安全白皮書，一方面是讓用戶更清楚的認識和了解數(shù)字貨幣錢包的安全性問題、提高警惕；另一方面通過提出數(shù)字貨幣錢包安全標準的方式促進行業(yè)內(nèi)同類產(chǎn)品的安全升級，共同保護用戶資產(chǎn)的安全性。我們相信Bitcoin Wallet產(chǎn)品團隊和Jaxx Blockchain Wallet產(chǎn)品團隊都能在短時間內(nèi)完成漏洞的修復(fù)，但是因為私鑰已經(jīng)存在被泄露的風險，因此對于這2個產(chǎn)品的用戶，應(yīng)在開發(fā)商完成漏洞修補升級版本之前立即換用其他安全的加密數(shù)字錢包應(yīng)用，例如獵豹移動發(fā)布的SafeWallet，并重新創(chuàng)建一個全新的錢包地址，通過轉(zhuǎn)賬的方式將舊地址的資產(chǎn)轉(zhuǎn)移到新地址，最后將舊地址作廢，只有這樣才能確保數(shù)字資產(chǎn)的安全。