BTC 98393$
ETH 3394.75$
Tether (USDT) 1$
Toncoin (TON) 5.65$
telegram vk Х
telegram vk Х
Russian English
"

Только 6 из 45 криптовалютных кошельков прошли пен‑тесты

Дата публикации:10.08.2023, 15:43
2362
2362
Поделись с друзьями!

В июльском отчете платформы сертификации кибербезопасности CER говорится, что только шесть из 45 брендов криптовалютных кошельков, или 13,3%, прошли тестирование на проникновение для обнаружения уязвимостей в системе безопасности. Из них только половина провела испытания последних версий своих продуктов.

Согласно отчету, три бренда, которые провели современные тесты на проникновение, — это MetaMask, ZenGo и Trust Wallet. Rabby и Bifrost провели тестирование на проникновение на более старые версии своего программного обеспечения, а Ledger Live — на неизвестную версию (в отчете она указана как «N/A»). Все другие перечисленные бренды не представили никаких доказательств проведения этих тестов.

В отчете также представлен общий рейтинг безопасности каждого кошелька, в котором MetaMask, ZenGo, Rabby, Trust Wallet и Coinbase Wallet указаны как самые безопасные кошельки в целом.


Рейтинг CER по безопасности кошелька. Источник: CER.

«Тестирование на проникновение» — это метод поиска уязвимостей безопасности в компьютерных системах или программном обеспечении. Исследователь безопасности пытается взломать устройство или программное обеспечение и использовать его в целях, для которых оно не предназначено. В большинстве случаев пен-тестер практически не получает информации о том, как работает продукт. Этот процесс используется для имитации реальных попыток взлома с целью выявления уязвимостей до выпуска продукта.

CER обнаружил, что 39 из 45 брендов кошельков вообще не проводили тестирования на проникновение, даже в более старых версиях программного обеспечения. CER предположил, что причина может заключаться в том, что эти тесты дороги, особенно если компания часто обновляет свои продукты, заявив:

«Мы приписываем это количеству обновлений, которое имеет среднее приложение, где каждое новое обновление может дисквалифицировать пентест, сделанный ранее».

CER обнаружил, что самые популярные бренды кошельков с большей вероятностью проводят аудит безопасности, включая тесты на проникновение, поскольку у них часто есть средства для этого:

«По сути, популярные кошельки, как правило, принимают более надежные меры безопасности для защиты своей растущей пользовательской базы. Это кажется логичным — более высокая пользовательская база часто соответствует более значительным средствам для обеспечения безопасности, большей видимости и, следовательно, большему количеству потенциальных угроз. Это также может привести к положительной обратной связи, когда более безопасные кошельки привлекают больше новых пользователей, чем менее безопасные».

Рейтинг кошельков CER был основан на методологии, которая включала такие факторы, как награды за ошибки, прошлые инциденты и функции безопасности, такие как методы восстановления и требования к паролю.

Хотя большинство брендов кошельков не проводят тестирование на проникновение, CER заявил, что многие из них полагаются на вознаграждение за обнаружение уязвимостей, что часто является эффективным средством предотвращения взломов. Фирма оценила 47 из 159 отдельных кошельков как «безопасные» в целом, что означает, что их оценка безопасности выше 60. Среди этих 159 кошельков были некоторые из тех же брендов. Например, браузер MetaMask для Edge считался отдельным кошельком от MetaMask для Android.

Безопасность кошелька стала актуальной проблемой в 2023 году, поскольку 3 июня в результате взлома Atomic Wallet было потеряно более 100 миллионов долларов. Команда Atomic предположила, что нарушение могло быть вызвано вирусом или внедрением вредоносного ПО в инфраструктуру компании, но точная уязвимость, позволившая провести атаку, пока неизвестна. Веб-кошелек MyAlgo также подвергся взлому из-за бреши в системе безопасности в конце февраля, что привело к убыткам пользователей в размере более 9 миллионов долларов.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24