В июльском отчете платформы сертификации кибербезопасности CER говорится, что только шесть из 45, или 13,3%, брендов криптовалютных кошельков прошли тестирование на проникновение с целью обнаружения уязвимостей в системе безопасности. Из них только половина провела тестирование на последних версиях своих продуктов.
Согласно отчету, три бренда, которые провели актуальные тесты на проникновение, - это MetaMask, ZenGo и Trust Wallet. Rabby и Bifrost проводили тестирование на старых версиях своего ПО, а LedgerLive - на неизвестной версии (в отчете она указана как "N/A"). Все остальные перечисленные бренды не предоставили никаких доказательств проведения таких тестов.
В отчете также приводится общий рейтинг безопасности каждого кошелька: наиболее безопасными кошельками признаны MetaMask, ZenGo, Rabby, Trust Wallet и кошелек Coinbase.
"Тестирование на проникновение" - это метод поиска уязвимостей в безопасности компьютерных систем или программного обеспечения. Исследователь безопасности пытается взломать устройство или программное обеспечение и использовать его не по назначению. В большинстве случаев тестировщику предоставляется практически полная информация о том, как работает продукт. Этот процесс используется для имитации реальных попыток взлома с целью выявления уязвимостей до выпуска продукта.
CER обнаружила, что 39 из 45 брендов бумажников вообще не проводили тестирования на проникновение, даже на старых версиях программного обеспечения. В CER предположили, что причина может заключаться в дороговизне таких тестов, особенно если компания часто обновляет свои продукты: "Мы связываем это с количеством обновлений среднего приложения, когда каждое новое обновление может дисквалифицировать проведенный ранее пентест".
Они обнаружили, что наиболее популярные бренды бумажников чаще проводят аудит безопасности, включая тесты на проникновение, поскольку часто имеют на это средства:
"По сути, популярные кошельки стремятся принять более надежные меры безопасности, чтобы защитить свою растущую базу пользователей. Это кажется логичным - большая база пользователей часто соответствует более значительным средствам, которые необходимо защитить, большей видимости и, следовательно, большему количеству потенциальных угроз. Это также может привести к возникновению положительной обратной связи: более защищенные кошельки привлекают больше новых пользователей, чем менее защищенные".
Рейтинг кошельков, составленный CER, основывался на методологии, учитывающей такие факторы, как вознаграждение за ошибки, прошлые инциденты и характеристики безопасности, такие как методы восстановления и требования к паролю.
Хотя большинство кошельков не проводят тестирования на проникновение, CER отметил, что многие из них все же полагаются на "баг баунти" для поиска уязвимостей, что часто является эффективным средством предотвращения взломов. Из 159 отдельных кошельков 47 были оценены как "безопасные", т.е. их рейтинг безопасности превысил 60 баллов. Среди этих 159 кошельков были кошельки одних и тех же брендов. Например, MetaMask для браузера Edge считался отдельным кошельком от MetamlMask для Android.
Безопасность кошельков стала актуальной проблемой в 2023 году, так как 3 июня в результате взлома Atomic Wallet было потеряно более 100 млн. долл. Команда Atomic предположила, что взлом мог быть вызван вирусом или внедрением вредоносного ПО в инфраструктуру компании, однако точная уязвимость, которая позволила осуществить атаку, пока неизвестна. В конце февраля взлом веб-кошелька MyAlgo также привел к потере пользователями более 9 млн. долл.
Источник
