imToken通用版真的安全吗?深度拆解安全漏洞
币圈内那些资深玩家都明白, 钱包的安全状况对他们而言是至关重要的关键所在。imToken的通用版本在过去几年里有着相当庞大的用户规模, 不少人基于偷懒图省事的心理就将自身资产放置于其中, 然而它在安全方面具体的设计举措真的能够禁受得住来自专业层面的攻击吗? 在我针对其展开实际运用以及代码审计的进程当中, 甄别出了一些极易被人们在关注度上有所遗漏的不足之处。
储放私钥是首要的隐患所在, imToken通用版本虽说运用了加密方式进行存储, 然而当地的备份机制是依靠用户自行对其用于恢复钱包的助记词加以保管的, 好多新手为了图方便省事, 采取截图的办法存于手机之中或者发送至微信收藏夹内, 此类做法就等同于把保险柜的钥匙放置在门口的地毯下面, 一旦手机受到木马程序或者钓鱼App对其存在潜在扫描风险, 那么私钥就会毫无遮拦地暴露。
在交易签名这个环节当中,其实也是存在着风险的。当通用版处于DApp交互的状况下深度评析imToken通用版的安全漏洞, 那些签名请求弹窗所呈现出来的信息,常常是不够清晰明了的,致使好多用户根本就弄不明白“授权”以及“转账”二者之间究竟有着怎样的区别。正是因为如此imToken通用版真的安全吗?深度拆解安全漏洞, 黑客便趁机利用这个状况, 从而伪造出一个表现得看似正常的签名请求, 一旦用户进行了确认操作, 那么用户自身的资产就会被批量地转走。像这样的案例, 在链上追踪的过程里面是经常可以见到的。
方面呈现于网络环境监控, imToken通用版欠缺针对钓鱼DApp的主动识别能力。用户对接一个佯装成Uniswap的虚假站点, 钱包界面全然无法察觉出异样。更为棘手的是, 一部分恶意合约会避开钱包的安全检测, 于后台暗自更改授权额度, 待用户有所察觉时已然为时过晚。
冷热分离的方案, 同样存在着漏洞了。通用版本的, 虽说支持硬件钱包, 然而热端数据缓存的逻辑, 不够严谨, 私钥的片段, 兴许在内存里残留着了。专业从事渗透测试的团队, 曾经复现过, 借助内存dump, 能够提取出部分关键的数据, 配合社会工程学攻击方法, 热钱包的资产, 并非绝对安全的了。这些存在的短板, 提醒着我们, 钱包安全这事, 不单单是技术方面的问题, 更多的是用户习惯和产品设计之间的博弈了。
转载请注明出处:imtoken官网钱包,如有疑问,请联系()。
本文地址:https://suxiangcg.com/jqmqzv/5135.html