三言财经11月22日报道,区块链安全研究中心BSRC负责人表示:
“在视频发布之前,多次通过各种渠道向苦使命官方发出安全警告和漏洞警告,但始终没有得到任何明确的回应。认为比专门负责人更容易面对漏洞,对于用户最关心的漏洞是否存在,是否修复,没有明确回应。反而讽刺善意提醒的安全研究机构是黑社会碰瓷,体现了对用户数字资产安全的极度漠视。"
今天,BSRC公布了Bitcom APP漏洞的细节和攻击原理,指出Bitcom不仅明文存储助记符种子,还明文存储助记符词库,并给出了安全修复建议:
1.助记符种子需要被加密和存储。建议正确使用密码算法对助记符种子进行加密,然后存储。加密密钥应该由用户保存,而不是保存在本地。用户每次需要恢复助记符时,都需要输入密钥进行解密,而不是目前一键本地恢复的简单模式。
2.增强APP运行环境的安全性。首先,要加强APP的代码保护,通过DEX脱壳、混淆等安全保护措施增加代码反转的难度。其次,要加强对运行环境的检测,禁止APP在模拟器、虚拟机,或者根设备上的正常使用。
