Июльский отчет платформы сертификации кибербезопасности CER показал, что только шесть из 45, или 13,3%, брендов криптовалютных кошельков прошли тестирование на проникновение для обнаружения уязвимостей в системе безопасности. Из них только половина провела испытания последних версий своих продуктов.
Согласно отчету, три бренда, которые провели современные тесты на проникновение, — это MetaMask, ZenGo и Trust Wallet. Рабби и Бифрост провели тестирование на проникновение для более старых версий своего программного обеспечения, а LedgerLive — для неизвестной версии (отмеченной в отчете как «Н/Д»). Все другие перечисленные бренды не представили никаких доказательств проведения этих тестов.
В отчете также представлен общий рейтинг безопасности каждого кошелька, в котором MetaMask, ZenGo, Rabby, Trust Wallet и кошелек Coinbase указаны как самые безопасные кошельки в целом.
Рейтинг CER по безопасности кошелька. Источник: ЦЕР.
«Тестирование на проникновение» — это метод поиска уязвимостей безопасности в компьютерных системах или программном обеспечении. Исследователь безопасности пытается взломать устройство или программное обеспечение и использовать его не по назначению. В большинстве случаев тестер на проникновение практически не получает информации о том, как работает продукт. Этот процесс используется для имитации реальных попыток взлома с целью выявления уязвимостей до выпуска продукта.
CER обнаружил, что 39 из 45 брендов кошельков вообще не проводили тестирования на проникновение, даже в более старых версиях программного обеспечения. CER предположил, что причина может заключаться в том, что эти тесты дороги, особенно если компания часто обновляет свои продукты, заявив: «Мы приписываем это количеству обновлений, которое имеет среднее приложение, где каждое новое обновление может дисквалифицировать пентест, сделанный ранее. ».
Они обнаружили, что самые популярные бренды кошельков с большей вероятностью проводили аудит безопасности, включая тесты на проникновение, поскольку у них часто были средства для этого:
«По сути, популярные кошельки, как правило, принимают более надежные меры безопасности для защиты своей растущей пользовательской базы. Это кажется логичным — более высокая пользовательская база часто соответствует более значительным средствам для обеспечения безопасности, большей видимости и, следовательно, большему количеству потенциальных угроз. Это также может привести к положительной обратной связи, когда более безопасные кошельки привлекают больше новых пользователей, чем менее безопасные».
Рейтинг кошельков CER был основан на методологии, которая включала такие факторы, как награды за ошибки, прошлые инциденты и функции безопасности, такие как методы восстановления и требования к паролю.
Хотя большинство брендов кошельков не проводят тестирование на проникновение, CER заявил, что многие из них полагаются на вознаграждение за обнаружение уязвимостей, что часто является эффективным средством предотвращения взломов. Они оценили 47 из 159 отдельных кошельков как «безопасные» в целом, что означает, что их оценка безопасности выше 60. Среди этих 159 кошельков были некоторые из тех же брендов. Например, браузер MetaMask для Edge считался отдельным кошельком от MetamlMask для Android.
Связанный: Bug bounty может помочь защитить сети блокчейна, но дает неоднозначные результаты
Безопасность кошелька стала актуальной проблемой в 2023 году, поскольку 3 июня в результате взлома кошелька Atomic Wallet было потеряно более 100 миллионов долларов. Команда Atomic предположила, что взлом мог быть вызван вирусом или внедрением вредоносного ПО в инфраструктуру компании, но Точная уязвимость, позволившая провести атаку, пока неизвестна. Веб-кошелек MyAlgo также подвергся бреши в системе безопасности в конце февраля, что привело к убыткам пользователей в размере более 9 миллионов долларов.
Источник: Сointеlеgrаph
