“21%的操作有截屏和录屏记录；26%没有检测系统运行环境；9%存在钱包APP伪造漏洞；6%的交易密码没有检测到弱密码；38%的核心代码没有加固。”这些数字来自360集团信息安全部最近发布的一份《数字货币钱包安全白皮书》(以下简称“《白皮书》”)。 　　

　　随着区块链的普及，数字货币逐渐被投资者所熟知，但安全问题也随之而来。早在2014年，当时全球最大的比特币交易所运营商Mt.Gox就被黑客盗取了85万个比特币，占当时全球比特币总数的7%；2017年11月，以太坊钱包Parity被曝光，导致93万枚以太坊币被冻结，价值2.8亿美元；2018年1月，数字货币证券交易所的CoinCheck钱包遭到黑客攻击，价值5.3亿美元的新货币被盗。 　　

　　所谓的数字货币钱包实际上管理基于区块链技术的数字货币的应用，如比特币。一般提供钱包地址创建、转账、交易查询等功能。数字货币钱包的“百花齐放”，对应的是区块链技术在数字虚拟货币中的广泛应用。在中国，2017年，区块链相关项目的融资总额超过12.7亿元，发生了54起融资事件。仅2018年首月，区块链行业融资金额就达6.8亿元，融资事件19起。 　　

　　数字货币钱包的安全性从何而来？市场研究机构猎豹全球智库的一份研究报告显示，每个钱包地址对应一对密钥——私钥和公钥。公钥是根据私钥通过一定的数学运算生成的，与私钥一一对应。公钥主要用于对外交易，而私钥是数字货币钱包中唯一能够证明其对数字资产拥有控制权的证书，因此其产生和存储的方式决定了资产是否安全。助记符是另一种形式的明文私钥，所以助记符能否安全管理也是区分钱包是否安全的重要条件。 　　

　　因此，对私钥和助记符的攻击成为数字货币钱包最重要的安全隐患之一。《白皮书》根据使用时联网状态的不同，数字货币钱包分为“热钱包”和“冷钱包”。由于业务场景和推广需求的快速迭代，两个钱包都存在很多安全隐患，但总体来说，“热钱包”的漏洞比“冷钱包”多，可被攻击的环节也多。30集团信息安全部负责人高雪峰说：“以‘热钱包’为例。如果新用户的钱包在创建助记符时没有监控截屏和录屏，可能会导致助记符泄露。如果逆向分析私钥生成过程的相关算法，黑客就可以得到私钥。”此外，数字货币钱包还面临着常见的网络攻击，包括恶意代码植入、输入监控和转账地址篡改。 　　

　　为什么数字货币钱包存在这么多安全隐患，为什么对它的攻击能频频得手？高雪峰认为，区块链崛起后，数字货币中钱包的安全标准严重滞后，大部分钱包开发团队以业务优先为原则，未能提供足够的安全保障。黑客一旦瞄准钱包，发现漏洞，就会对账户货币进行抢劫，而且由于数字货币的匿名性和不可追踪性，被盗后很难追回。 　　

　　目前数字货币钱包的安全性主要依靠平台加强安全审核。《白皮书》建议数字货币钱包服务商进行包括域名系统安全检测、主机实例安全检测、服务器应用安全检测等一系列审核。并监控私钥、助记符、交易过程和数据存储的安全性。对于普通用户来说，可以采取的安全防范措施相当有限。 　　

　　猎豹全球智库高级分析师刘鹏表示，对于普通用户来说，如果正在使用的加密数字货币钱包存在安全漏洞，应在开发者完成之前，更换为其他安全的加密数字货币钱包