У липневому звіті платформи сертифікації кібербезпеки CER виявилося, що лише шість із 45, або 13,3%, брендів криптовалютних гаманців пройшли тестування на проникнення для виявлення вразливостей у безпеці. З них лише половина провела тестування останніх версій своїх продуктів.
Згідно зі звітом, три бренди, які провели сучасні тести на проникнення, це MetaMask, ZenGo і Trust Wallet. Rabby і Bifrost провели тестування на проникнення на старіших версіях свого програмного забезпечення, а LedgerLive — на невідомій версії (у звіті позначено як «N/A»). Усі інші перелічені бренди не надали жодних доказів проведення цих тестів.
У звіті також подано загальний рейтинг безпеки кожного гаманця, у якому MetaMask, ZenGo, Rabby, Trust Wallet і гаманець Coinbase названі найбезпечнішими гаманцями в цілому.
«Тестування на проникнення» — це метод пошуку вразливостей безпеки в комп’ютерних системах або програмному забезпеченні. Дослідник безпеки намагається зламати пристрій або програмне забезпечення та використовувати їх у непередбачених цілях. У більшості випадків тестувальник проникнення не надає майже жодної інформації про те, як працює продукт. Цей процес використовується для імітації реальних спроб злому з метою виявлення вразливостей до випуску продукту.
CER виявив, що 39 із 45 брендів гаманців взагалі не проводили тестування на проникнення, навіть на старіших версіях програмного забезпечення. CER припустив, що причина може полягати в тому, що ці тести дорогі, особливо якщо компанія часто оновлює свої продукти, заявивши: «Ми пояснюємо це кількістю оновлень середнього додатка, де кожне нове оновлення може дискваліфікувати пентест, зроблений раніше..”
Вони виявили, що найпопулярніші бренди гаманців частіше проводять перевірки безпеки, включаючи тести на проникнення, оскільки вони часто мають на це кошти:
«По суті, популярні гаманці, як правило, застосовують більш надійні заходи безпеки, щоб захистити зростаючу базу користувачів. Це здається логічним – більша база користувачів часто відповідає більшим коштам для захисту, більшій видимості та, як наслідок, більшій кількості потенційних загроз. Це також може призвести до позитивного зворотного зв’язку, коли більш безпечні гаманці залучатимуть нових користувачів у більшій кількості, ніж менш безпечні».
Рейтинг гаманців CER базувався на методології, яка включала такі фактори, як винагороди за помилки, минулі інциденти та функції безпеки, такі як методи відновлення та вимоги до пароля.
Хоча більшість брендів гаманців не проводять тестування на проникнення, CER заявив, що багато з них покладаються на винагороди за помилки для пошуку вразливостей, що часто є ефективним засобом запобігання злому. Вони оцінили 47 із 159 окремих гаманців як «безпечні» в цілому, що означає, що вони мали оцінку безпеки вище 60. Ці 159 гаманців включали деякі від тих самих брендів. Наприклад, MetaMask для браузера Edge вважався окремим гаманцем від MetamlMask для Android.
Пов’язане: винагороди за помилки можуть допомогти захистити мережі блокчейну, але мають неоднозначні результати
Безпека гаманця стала актуальною проблемою у 2023 році, оскільки понад 100 мільйонів доларів було втрачено під час злому Atomic Wallet 3 червня. Команда Atomic припустила, що злом міг бути спричинений вірусом або впровадженням шкідливого програмного забезпечення в інфраструктуру компанії, алеточна вразливість, яка дозволила атаку, поки невідома. Веб-гаманець MyAlgo також зазнав порушення безпеки наприкінці лютого, що призвело до збитків для користувачів на суму понад 9 мільйонів доларів.