使用電子錢包進行交易時的漏洞

《南華早報》援引數字資產和基礎設施託管公司 Fireblocks 的一份報告稱，BitForge 漏洞影響了當今 15 個最受歡迎的加密錢包提供商和項目。 這一發現於 8 月 9 日在美國舉行的 Black Hat USA 會議上公佈。

全球最大的加密貨幣交易所幣安首席執行官趙長鵬隨後也在X上承認了該問題。他表示該漏洞已被修補，並確保用戶資金不受影響。 Coinbase 發言人也表示，交易所解決了這個問題。

Fireblocks 表示，事實上，該漏洞在一些加密錢包服務提供商中仍然存在，大約 80% 的加密用戶可能會受到影響。 Fireblocks 代表表示：“如果不加以控制，大規模攻擊就會蔓延，病毒會在幾秒鐘內傳播，而用戶甚至服務提供商都檢測不到它們。”

Fireblocks 首席執行官 Michael Shaulov 表示，BitForge 之所以如此危險，是因為它簡單有效，遵循了大多數已發生的攻擊的原則。 犯罪分子需要的是簡單的間諜軟件來將病毒傳播到用戶的設備中。 最常見的方法之一是發送網絡釣魚電子郵件，誘騙用戶安裝其他應用程序或提供個人信息。

Fireblocks 表示，供應商承認他們的系統可能容易受到 BitForge 的攻擊，但沒有具體說明受影響的用戶數量。 Fireblocks CTO 表示：“MPC 安全在數字資產行業很常見，但從 BitForge 漏洞來看，顯然仍然有項目無法為用戶設計 MPC。危險在於，社區認為 MPC安全，但實際上每個MPC 的質量並不統一。

以色列網絡安全公司 Check Point 表示：“通過利用該漏洞，黑客能夠解密存儲在瀏覽器本地內存中的私鑰和密碼（種子短語）。 換句話說，攻擊者可以完全控制受害者的錢包。

利用擴展程序等各種攻擊媒介，該漏洞可能允許惡意瀏覽器或網絡釣魚鏈接獲取錢包加密密鑰和助記詞（用於訪問加密錢包的密鑰）存儲在瀏覽器的內存中，然後執行暴力攻擊撤回資金。

數字資產領域的網絡安全

網絡安全是數字資產和加密貨幣交易領域政府主要關注的問題之一。 為了解決用戶面臨的風險，多個國家的監管機構已開始對數字資產和提供商進行監管審查。 從6月開始，香港的加密貨幣交易所如果想為本地客戶提供服務，必須獲得證券及期貨事務監察委員會（SFC）的牌照。 許可證的條件之一是滿足網絡安全、反洗錢（AML）、私鑰管理以及內部審計和控制領域的一系列標準。

專家表示，託管和網絡安全仍然是不斷增長的數字資產領域的首要問題。 公司經常忽視安全這一優先事項。 網絡犯罪分子會利用這些漏洞來攻擊用戶。

在越南，根據國家銀行23號通知，明確電子錢包用戶必須提供憑證，但犯罪分子往往想方設法限制個人信息的提供，限制“身份識別”。 服務提供商和電子錢包提供商在驗證、比較和確保有效的錢包記錄方面面臨許多限制。 這是一個漏洞，允許犯罪分子在不提供身份信息的情況下通過電子錢包進行在線支付。

每個公民在使用電子錢包進行交易時一定要提高警惕，避免財產損失。

維貞 （第）