Тестирование на проникновение или пентестинг – метод оценки безопасности кода или оборудования путём моделирования возможной хакерской атаки. При таком тестировании специалисты пытаются взломать код, ищут в нём уязвимости или другие особенности, которые помогли бы провести вектор атаки. Чтобы пентестинг имел смысл, к нему следует привлекать представителей специализирующихся на этой сфере фирм. И теперь сотрудники CER заметили, что далеко не каждая криптокомпания прибегает к таким мерам.
Отметим, что некоторые участники индустрии криптовалют всё же не игнорируют эту составляющую. К примеру, в рамках компании-производителя уже знакомых нам аппаратных кошельков Ledger существует отдельное исследовательское подразделение Ledger Donjon.
Сайт подразделения Ledger Donjon
Её сотрудники целенаправленно ищут возможные уязвимости устройств и программного обеспечения компании. Таким образом они обеспечивают безопасность целой экосистемы Ledger и при необходимости вознаграждают сторонних девелоперов, которые натыкаются на баги.
Самый безопасный кошелёк для криптовалют
Выборка для исследования CER составлена по следующим категориям, которыми поделились представители организации.
В нашем исследовании основное деление происходит на три группы: десктопные, мобильные и кошельки-расширения. Мы также проанализировали несколько кошельков, позволяющих создать учётную запись прямо на их сайте, но информации для исчерпывающего анализа было недостаточно, поэтому мы пока обошли эту категорию стороной.
Напомним, расширениями называют кошельки, которые работают внутри браузеров. К примеру, знакомый нам Phantom доступен в том числе в виде расширения, однако его также можно использовать на смартфоне.
Общие баллы по безопасности кошельков на разных платформах
Как видно на скриншоте выше, все три категории получили достаточно посредственные оценки по общей безопасности. Лучшими в этом плане оказались расширения для браузеров – они набрали 58 баллов из 100. Десктопные и мобильные решения получили 48 и 51 балл соответственно.
Согласно данным источников Cointelegraph, только 6 из 45 брендов криптокошельков проходили пентестинг с целью обнаружения уязвимостей в системе безопасности, что переводится в 13.3 процента от общего числа программ. Из них только половина провела тестирование на последних версиях своего кода.
Хакеры украли более 1.5 миллиарда долларов с так называемых блокчейн-мостов в прошлом году
Три бренда, которые провели актуальные тесты на проникновение – это MetaMask, ZenGo и Trust Wallet. Представители Rabby и Bifrost проводили тестирование на старых версиях своих кошельков, а в случае Ledger Live использовалась неизвестная версия приложения. Все остальные перечисленные в отчёте компании не предоставили никаких доказательств проведения таких тестов. Аналитики также составили общий рейтинг защищённости каждого кошелька: лидерство в нём получили MetaMask, ZenGo, Rabby, Trust Wallet и Coinbase Wallet.
😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!
В отчёте аналитиков также упомянут инцидент со взломом кошелька Atomic Wallet, произошедший в начале июня. Вот соответствующая цитата на этот счёт.
Взлом Atomic Wallet в июне 2023 года стал ярким напоминанием о том, насколько важна безопасность криптокошельков. Несмотря на впечатляющее количество загрузок на Android и около 5 миллионов пользователей, Atomic Wallet стал жертвой продуманной хакерской атаки. В результате неё сумма убытков по разным подсчётам достигает 100 миллионов долларов.
Топ кошельков по безопасности
В коде Atomic Wallet было много уязвимостей, однако трагедии можно было бы избежать. По данным источников, аудиторская фирма Least Authority ещё в 2022 году заявила о недостатках программного обеспечения кошелька. Однако команда Atomic Wallet закрывала на это глаза и не рассказывала о существовании проблемы.
Частота инцидентов в кошельках с открытым и закрытым кодом
В этом плане Atomic Wallet существенно отличается от своих конкурентов схожего масштаба. Аналитики отметили, что наивысшие оценки в их рейтинге получили одни из самых популярных кошельков. Как и в случае с Atomic Wallet, у них есть большая пользовательская база и возможность проводить регулярные аудиты. Но разработчики пострадавшего от атаки кошелька халатно отнеслись к пентестингу, поэтому Atomic Wallet получил низкую оценку безопасности от CER.
Необходимость постоянных проверок безопасности для криптовалютных кошельков очевидна. Здесь вспоминается ситуация от августа 2022 года, когда пользователи кошельков Phantom, Slope и TrustWallet в сетях Solana и Эфириума внезапно начали терять деньги со своих счетов. Как оказалось, всему виной были разработчики Slope, чья программа зачем-то передавала сид-фразы на сервера компании в незашифрованном виде. Поэтому хакеры смогли добраться до содержимого кошельков многих пользователей и легко их опустошить.
Оценки безопасности кошелька MetaMask в разных браузерах
И хотя разработчики большинства кошельков не проводят тестирования на проникновение, CER заявила, что многие из них всё же полагаются на программы по поиску уязвимостей внутри сообщества. Это вознаграждения для любителей монет и разработчиков, которые находят баги в проектах и получают за это награду.
Такой метод остаётся достаточно действенным в контексте защиты от потенциальных хакерских атак. Хотя как показывает недавний хак Curve Finance, от подобной участи не застрахованы даже самые крупные и популярные платформы.
Похоже, пользователям цифровых активов нужно осторожнее подходить к выбору используемых программ. Ну а хранить монеты на долгосрок традиционно лучше на аппаратных кошельках. Вдобавок такие устройства в идеале не следует подключать к смарт-контрактам, чтобы в случае чего не пострадать из-за неожиданных ошибок разработчиков.
Ещё больше интересного ищите в нашем крипточате бывших богачей. Там поговорим и на другие темы, которые так или иначе приближают нас к новому буллрану на рынке цифровых активов.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
