Cobo 金庫已通過 PeckShield 全面安全審計

近期, Cobo 金庫硬件錢包通過了區塊鏈安全公司 PeckShield 的安全審計服務。

Cobo 是國內知名的一站式數字資產存儲和增值管理平臺,旗下有 Cobo 錢包(C 端中心化錢包),Cobo 託管(B 端企業級錢包),以及 Cobo 金庫(去中心化硬件錢包)三條完整產品線。而這次 PeckShield 展開安全審計服務的 Cobo 金庫是 Cobo 旗下第二代硬件錢包產品,號稱是一款實現“全脫網,全開源”的安全硬件數字錢包。

Cobo 金庫已通過 PeckShield 全面安全審計

一款硬件錢包要做到哪些才足夠安全可靠呢? 據 Cobo 官方介紹:

1)爲了提升 Cobo 金庫的脫網程度。 Cobo 金庫移除了所有 USB 接口、藍牙、NFC、WiFi、基帶等所有通訊模塊,在軟硬交互方面也採用了動態二維碼,確保所有出入數據都透明可驗證,確保不會有惡意代碼注入硬件錢包,進而成爲了真正意義上的冷錢包。

2)爲了保障用戶私鑰安全。 Cobo 金庫採用銀行級的安全芯片。一方面可生成真隨機數用於私鑰派生,能夠有效防止冷啓動攻擊,故障攻擊,功耗監控攻擊等一系列旁路攻擊;另一方面,還能確保私鑰派生、交易簽名等敏感操作也全部在安全芯片內完成,確保了私鑰的安全性。

此外,爲了儘可能杜絕一切攻擊的可能性,Cobo 金庫還採用了官網驗證,拆機自毀等多層複合安全機制,全方位防控來自外界的多重威脅,爲用戶的數字資產安全保駕護航。

負責此次 Cobo 金庫硬件錢包審計工作的 PeckShield 安全審計人員認爲:

硬件錢包是將私鑰存儲在硬件安全芯片中,並將其與網絡設備的完全隔離以確保安全。因此設備端自身的安全性尤爲重要。

我們安全分析工作主要集中於三個層面:App 層,設備系統層和安全芯片層,主要審計內容如下:

  1. 安全芯片數據存儲安全:是否可以直接導出私鑰助記詞,是否可被暴力破解;
  2. 安全芯片程序安全:程序中業務邏輯和代碼本身是否存在漏洞,以及是否會被惡意植入代碼等問題進行審計;
  3. 設備操作系統(Android):是否系統本身會被攻擊和破解,安全芯片是否有被篡改和攻擊的可能;
  4. 應用層 App 的業務邏輯層:是否物理隔離,App 自身安全,是否存在後門等問題。

經過分析,我們發現一些漏洞,且與 Cobo 金庫開發人員進行多輪溝通後協助修復了漏洞,目前主要問題都已經修復,可安全上線。

但需要提醒的是,使用硬件錢包並不能使您完全免受一切社會工程學、物理威脅或人爲錯誤使用的潛在安全隱患。 用戶必須遵守硬錢包使用注意事項,學會妥善、安全保存助記詞和硬錢包硬件等。

PeckShield 作爲業內領先的區塊鏈安全公司,安全業務已覆蓋全球範圍,主要客戶包括有: 公鏈提供商 (EOS、Nervos、Harmony、AVA、HBTC、NEO 、IOST、Bytom、TRON、OKChain),頭部錢包和礦池 (imToken、SparkPool、比特派、Cobo 金庫,VoiceWallet),以及頭部交易所 (Huobi、KuCoin、Bithumb、Upbit、OKex)、DeFi 應用及智能合約(MakerDAO、StarkWare、Tokenlon、InstaDApp、Set Protocol、Ren Project、Hydro Protocol、dForce、Newdex、HoneyLemon)等。


Ps:本次審計報告已上傳至 GitHub,點擊“ 閱讀原文 ”可自行下載查閱。

Cobo 金庫 簡介:

Cobo 金庫是 Cobo 旗下一款硬件數字錢包,其使用了動態二維碼通訊做到全脫網,並使用了一顆 EAL 5+ 銀行級安全芯片(安全芯片固件已開源),同時採用了官網驗證,拆機自毀等多層複合安全機制,全方位防控來自外界的多重威脅,爲用戶的數字資產安全保駕護航。

PeckShield 簡介:

PeckShield「派盾」成⽴於 2018 年,是業界領先的區塊鏈安全公司,核心團隊曾服務於 360、Intel、Juniper、Alibaba 等全球知名廠商,團隊成員多次原創發現底層核心安全漏洞獲得各大廠商官方致謝。

PeckShield 作爲早期專注於區塊鏈生態的頭部安全公司,基於安全團隊二十年來在代碼分析、操作系統、⼤數據等安全業務領域的積累,提出了一整套滲透測試、代碼審計、應急響應、鏈上數據監測,AML 反洗錢等安全與數據綜合解決方案,業務覆蓋區塊鏈生態安全的各個環節。PeckShield 團隊因多個關鍵安全漏洞發現而廣受業內關注,被 Etherscan.io 納入智能合約安全審計推薦名單,同時躋身「以太坊賞金獵人」全球排名 Top 3。

PeckShield 旗下成立了 DAppTotal、DAppShield、CoinHolmes 等多個獨立的數據與安全服務品牌,致力於提升區塊鏈生態整體的安全性、隱私性以及可用性,併爲生態用戶提供切實有效的數據與安全解決方案和服務。

Cobo 金庫已通過 PeckShield 全面安全審計

來源鏈接:mp.weixin.qq.com