Ein Juli Bericht Die Cybersecurity-Zertifizierungsplattform CER hat herausgefunden, dass nur sechs von 45 bzw. 13,3 % der Kryptowährungs-Wallet-Marken Penetrationstests unterzogen wurden, um Sicherheitslücken zu finden. Davon hat nur die Hälfte Tests mit den neuesten Versionen ihrer Produkte durchgeführt.
Die drei Marken, die aktuelle Penetrationstests durchgeführt haben, sind dem Bericht zufolge MetaMask, ZenGo und Trust Wallet. Rabby und Bifrost führten Penetrationstests mit älteren Versionen ihrer Software durch und LedgerLive führte sie mit einer unbekannten Version durch (im Bericht als „N/A“ aufgeführt). Alle anderen aufgeführten Marken erbrachten keinen Nachweis, dass sie diese Tests durchgeführt haben.
Der Bericht auch bereitgestellt eine Gesamtbewertung der Sicherheit jeder Wallet, wobei MetaMask, ZenGo, Rabby, Trust Wallet und Coinbase Wallet als die sichersten Wallets insgesamt aufgeführt werden.
„Penetrationstests“ sind eine Methode zum Auffinden von Sicherheitslücken in Computersystemen oder Software. Ein Sicherheitsforscher versucht, sich in das Gerät oder die Software zu hacken und es für nicht vorgesehene Zwecke zu verwenden. In den meisten Fällen erhält ein Penetrationstester kaum oder gar keine Informationen über die Funktionsweise des Produkts. Mit diesem Verfahren werden reale Hackerversuche simuliert, um Schwachstellen aufzudecken, bevor das Produkt veröffentlicht wird.
CER stellte fest, dass 39 von 45 Wallet-Marken überhaupt keine Penetrationstests durchführten, nicht einmal bei älteren Versionen der Software. CER spekuliert, dass der Grund darin liegen könnte, dass diese Tests teuer sind, insbesondere wenn das Unternehmen häufig Upgrades an seinen Produkten vornimmt, und erklärte: „Wir führen dies auf die Anzahl der Updates zurück, über die eine durchschnittliche App verfügt, wobei jedes neue Update den zuvor durchgeführten Pentest disqualifizieren kann.“ .“
Sie fanden heraus, dass die beliebtesten Wallet-Marken eher Sicherheitsüberprüfungen, einschließlich Penetrationstests, durchführten, da sie oft über die Mittel dafür verfügten:
„Im Wesentlichen neigen beliebte Wallets dazu, robustere Sicherheitsmaßnahmen zu ergreifen, um ihre wachsende Benutzerbasis zu schützen. Das scheint logisch – eine höhere Benutzerbasis geht oft mit größeren Sicherheitsmitteln, mehr Sichtbarkeit und folglich mehr potenziellen Bedrohungen einher. Es kann auch zu einer positiven Rückkopplungsschleife führen, da sicherere Wallets mehr neue Benutzer anziehen als weniger sichere Wallets.“
Das CER-Ranking der Wallets basierte auf einer Methodik, die Faktoren wie Fehlerprämien, vergangene Vorfälle und Sicherheitsfunktionen wie Wiederherstellungsmethoden und Passwortanforderungen umfasste.
Obwohl die meisten Wallet-Marken keine Penetrationstests durchführen, verlassen sich viele von ihnen laut CER auf Bug Bounties, um Schwachstellen zu finden, was oft ein wirksames Mittel zur Verhinderung von Hacks ist. Sie bewerteten insgesamt 47 von 159 einzelnen Wallets als „sicher“, was bedeutet, dass sie einen Sicherheitswert von über 60 hatten. Unter diesen 159 Wallets befanden sich einige, die von denselben Marken stammten. Beispielsweise wurde MetaMask für den Edge-Browser als separate Wallet von MetamlMask für Android betrachtet.
Verwandt: Bug Bounties können zur Sicherung von Blockchain-Netzwerken beitragen, haben jedoch gemischte Ergebnisse
Die Sicherheit von Geldbörsen ist im Jahr 2023 zu einem dringenden Problem geworden, da durch den Atomic-Wallet-Hack am 3. Juni über 100 Millionen US-Dollar verloren gingen. Das Atomic-Team hat spekuliert, dass der Verstoß möglicherweise durch einen Virus oder die Injektion von Malware in die Infrastruktur des Unternehmens verursacht wurde, aber das Die genaue Schwachstelle, die den Angriff ermöglichte, ist noch unbekannt. Auch die Web-Wallet MyAlgo erlitt Ende Februar einen Sicherheitsverstoß, der den Nutzern einen geschätzten Verlust von über 9 Millionen US-Dollar verursachte.