En nylig undersøgelse fra cybersikkerhedscertificeringsplatformen CER har kastet lys over den utilstrækkelige sikkerhedspraksis inden for cryptocurrency wallet-industrien.
Ifølge resultaterne har kun 6 af de 45 undersøgte crypto wallet brands udsat deres produkter for penetrationstest for at identificere potentielle sårbarheder. Rapporten, der blev offentliggjort i juli, understreger den bekymrende tendens til, at udbydere af kryptopunger undlader at rekruttere eksterne eksperter til omfattende sikkerhedsvurderinger.
Hvad bliver penetrations tests brugt til?
Praksisen med penetrationstest involverer at ansætte sikkerhedsforskere til at simulere hackingforsøg i den virkelige verden på computersystemer eller software. Målet er at afdække sårbarheder, der potentielt kan udnyttes af ondsindede aktører. Denne proaktive tilgang hjælper udviklere med at identificere og adressere svagheder, før de udgiver deres produkter til offentligheden.
Disse 5 wallets er bedst i test:
CER's undersøgelse fremhævede ikke kun mangel på penetrationstest, men rangerede også den overordnede sikkerhed for forskellige tegnebogsmærker. Øverst på listen over mest sikre tegnebøger var MetaMask, ZenGo, Rabby, Trust Wallet og Coinbase Wallet. Faktorer, der bidrager til den overordnede sikkerhedsrangering, omfattede bug-bounties, historiske sikkerhedshændelser og beskyttende funktioner som gendannelsesmetoder og adgangskodekrav.
Kun 3 tester deres softwareversioner
Ud af de håndfuld mærker, der engagerede sig i penetrationstest, testede kun tre - nemlig MetaMask, ZenGo og Trust Wallet - deres seneste softwareversioner. Rapporten bemærkede også, at Rabby og Bifrost udførte penetrationstest, omend på forældede software-iterationer. Sagen om Ledger Live forbliver tvetydig, da den version, der blev testet, blev angivet som "N/A" i rapporten.
Rapporten påpegede, som sagt, at 39 ud af de 45 undersøgte tegnebogsmærker ikke gennemgik nogen form for penetrationstest, heller ikke på tidligere softwareversioner. CER spekulerede i, at omkostningerne ved disse tests, især for virksomheder med hyppige softwareopdateringer, kunne virke afskrækkende. Da hver opdatering potentielt kan gøre tidligere penetrationstests forældede, kan det være en udfordring at opretholde omfattende sikkerhedstests gennem et produkts livscyklus.
CER's undersøgelse afslørede, at større og mere populære tegnebogsmærker var mere tilbøjelige til at udføre sikkerhedsrevisioner og penetrationstests, primært på grund af deres økonomiske muligheder. Rapporten anerkendte dog, at mange tegnebogsudbydere supplerede deres sikkerhedsforanstaltninger med bug bounty-programmer, en strategi, der har vist sig effektiv til at identificere sårbarheder.
CER's vurdering kategoriserede 47 ud af 159 individuelle tegnebøger som "sikre" med en sikkerhedsscore på over 60. Evalueringen betragtede især variationer af den samme tegnebog, såsom MetaMask for forskellige platforme, som separate enheder. Det hastende med wallet-sikkerhed blev udtalt i 2023, eksemplificeret ved hændelser som Atomic Wallet-hacket, som resulterede i tab på over 100 millioner dollars. Årsagerne bag sådanne brud involverer ofte vira, malware-injektioner eller andre sårbarheder i en virksomheds infrastruktur, hvilket understreger behovet for omfattende sikkerhedspraksis i branchen. Et andet tilfælde var det sikkerhedsbrud, som web-wallet MyAlgo led, hvilket førte til et anslået brugertab på over $9 millioner.