По данным исследователей, тесты на проникновение проводят команды лишь 13,3% криптовалютных кошельков, из них лишь половина проводила испытания последних версий своих приложений.
Компания CER, которая специализируется на сертификации кибербезопасности, провела исследование сферы криптовалютных кошельков. Согласно предоставленному отчету, из 45 брендов лишь 6 привлекали сторонних специалистов для проведения тестов на проникновение для поиска уязвимостей. Из них лишь половина тестировала последние версии своих продуктов.
Так, актуальные проверки безопасности прошли кошельки MetaMask, ZenGo и Trust Wallet. Кошельки Rabby, Bifrost и Ledger Live проводили тесты на проникновение для более старых версий своего программного обеспечения. Остальные 39 из 45 брендов криптокошельков вообще не проводили тестирование на проникновение, даже в более старых версиях своих продуктов.
По мнению аналитиков CER, причины такого положения дел заключаются в том, что тесты на проникновение являются дорогостоящими, в то время как ПО обновляется часто, и любое новое обновление делает неактуальными результаты теста, проведенного ранее. Аналитики отмечают, что большинство брендов вместо тестирования полагается на вознаграждение за обнаружение уязвимостей, что тоже является эффективным средством предотвращения взломов.
В отчете также представлен общий рейтинг безопасности криптокошельков, согласно которому первые пять мест занимают:
- MetaMask.
- ZenGo.
- Rabby.
- Trust Wallet.
- Coinbase Wallet.
Рейтинг CER был составлен по методологии, которая включала в себя ряд факторов безопасности, среди которых награды за ошибки, прошлые инциденты, требования к паролю и методы его восстановления, и прочие.
В то же время значимость внешнего технического аудита наглядно продемонстрировала компания Fireblocks, которая специализируется на безопасности инфраструктуры для операций с цифровыми активами и их хранения. Ее представители поделились подробной информацией о ряде критических уязвимостей, обозначенных как BitForge, выявленных более чем в десятке популярных технических решений для хранения криптовалют.
Компания опубликовала данные своего исследования, выждав 90 дней с момента выявления уязвимостей. Информация о потенциальных способах взлома была сразу же передана командам, ответственным за разработку потенциально уязвимых проектов. По сообщению Fireblocks, все разработчики оперативно отреагировали на информацию и внесли необходимые обновления. Среди конкретных проектов, в коде которых нашлись уязвимости, упоминаются только криптокошельки Coinbase, Zengo и Binance.
Таким образом потенциальная уязвимость криптовалютных кошельков остается актуальной проблемой. Так, одной из крупнейших хакерских атак в 2023 году по объему украденных средств является взлом криптокошелька Atomic Wallet, в ходе которого киберпреступники завладели активами стоимостью более $100 млн.
