Tylko 6 na 45 portfeli kryptowalutowych przeszło testy penetracyjne
Braki w Bezpieczeństwie Portfeli Kryptowalutowych
W raporcie opublikowanym przez platformę certyfikacyjną ds. cyberbezpieczeństwa CER ustalono, że tylko sześć z 45 marek portfeli kryptowalutowych, czyli 13,3%, przeszło testy penetracyjne w celu wykrycia podatności na zagrożenia bezpieczeństwa. Spośród nich tylko połowa przeprowadziła testy na najnowszych wersjach swoich produktów.
Marki, które przeprowadziły aktualne testy penetracyjne to MetaMask, ZenGo i Trust Wallet, jak wynika z raportu. Rabby i Bifrost przetestowały starsze wersje swojego oprogramowania, a Ledger Live przeprowadził test na nieznanej wersji (oznaczonej jako "N/A" w raporcie). Wszystkie inne wymienione marki nie dostarczyły żadnych dowodów na przeprowadzenie tych testów.
Raport zawierał również ogólną klasyfikację bezpieczeństwa każdego portfela, wymieniając MetaMask, ZenGo, Rabby, Trust Wallet i Coinbase Wallet jako najbezpieczniejsze portfele ogólnie.
"Testy penetracyjne" to metoda wykrywania podatności na zagrożenia w systemach komputerowych lub oprogramowaniu. Badacz bezpieczeństwa próbuje zhakować urządzenie lub oprogramowanie i używać go w sposób niezamierzony. W większości przypadków tester testu penetracyjnego nie ma zbyt wielu informacji na temat sposobu działania produktu. Ten proces ma na celu symulację prób hakowania w prawdziwym środowisku w celu odkrycia podatności przed wprowadzeniem produktu na rynek.
CER stwierdziło, że 39 na 45 marek portfeli nie przeprowadziło żadnych testów penetracyjnych, nawet na starszych wersjach oprogramowania. Firma CER spekulowała, że powodem może być kosztowność tych testów, zwłaszcza jeśli firma często aktualizuje swoje produkty, twierdząc: "Przypisujemy to ilości aktualizacji, jakie ma przeciętna aplikacja, gdzie każda nowa aktualizacja może zdyskwalifikować wcześniejszy test penetracyjny."
CER stwierdziło również, że najpopularniejsze marki portfeli częściej przeprowadzały audyty bezpieczeństwa, w tym testy penetracyjne, ponieważ często dysponowały odpowiednimi środkami finansowymi:
"W zasadzie popularne portfele mają tendencję do przyjęcia bardziej solidnych środków bezpieczeństwa w celu ochrony rosnącej bazy użytkowników. Wydaje się to logiczne - większa liczba użytkowników często odpowiada większym środkom do zabezpieczenia, większej widoczności i co za tym idzie, większym potencjalnym zagrożeniom. Może to również prowadzić do pozytywnego sprzężenia zwrotnego, gdzie bardziej bezpieczne portfele przyciągają nowych użytkowników w większej liczbie niż te mniej bezpieczne."
Klasyfikacja portfeli według CER opierała się na metodologii, która obejmowała czynniki takie jak bug bounty, wcześniejsze incydenty oraz funkcje zabezpieczeń, takie jak metody przywracania i wymagania dotyczące hasła.
Mimo że większość marek portfeli nie przeprowadza testów penetracyjnych, CER stwierdziło, że wiele z nich polega na nagrodach za wykrycie błędów, co często jest skutecznym środkiem zapobiegania hakom. Firma oceniła 47 na 159 pojedynczych portfeli jako "bezpieczne" ogólnie, co oznaczało, że miały one wynik bezpieczeństwa powyżej 60. Do tych 159 portfeli należały niektóre z tych samych marek. Na przykład MetaMask dla przeglądarki Edge został uznany za oddzielny portfel niż MetaMask dla systemu Android.