BSRC公佈漏洞細節,稱位元派的迴應“漠視使用者安全”
區塊鏈安全研究中心BSRC負責人稱,“在公佈視訊前,曾多次通過各種渠道向位元派官方發出安全警示和漏洞預警,但從未得到任何明確迴應。並認為位元派負責人面對漏洞實錘避重就輕,完全沒有針對使用者最關心的漏洞是否存在以及是否修補給予明確迴應,反而諷刺善意提醒的安全研究機構是黑社會碰瓷,反映出對於使用者數字資產安全的極度漠視。”今日,BSRC公佈位元派APP漏洞細節和攻擊原理,指出位元派不但明文儲存助記詞種子也明文儲存助記詞詞庫,並給出安全修補建議:1. 助記詞種子需加密儲存。建議正確使用密碼學演算法對該助記詞種子進行加密之後再儲存,加密金鑰不能儲存在本地,而是應該由使用者儲存。使用者每次需要恢復助記詞時,需要輸入金鑰進行解密,而不是現在這種一鍵從本地恢復的簡單模式。2. 增強APP執行環境安全。首先需要增強APP的程式碼保護,通過DEX加殼,混淆等安全防護措施增加程式碼逆向的難度。其次,需要增強執行環境的檢測,禁止APP在模擬器,虛擬機器,或ROOT裝置上的正常使用。
剩餘 276