区块链技术的迅速发展，带动了新兴产业数字钱包的发展，但加密数字钱包APP的井喷式发展并没有充分考虑对于相关信息安全的保护。

据剑桥大学统计，全球数字资产钱包用户2018年已经达到了3500万，比2016年增长了三倍有余，但市面上大部分数字钱包都存在被黑客攻击、盗币等安全隐患。据统计，区块链最易受攻击的板块主要集中在交易平台、智能合约上，其中加密数字资产的交易平台占比最高，达到34.15%，而由易受攻击点带来的经济损失近35亿美元，其中由交易平台被攻击带来的损失更是高达41.39%。

因此，分析评估当前加密数字钱包APP中存在的典型信息安全问题和风险，并对其中存在的高风险进行预警成为亟待解决的问题。近日，由区块链安全研究中心联合中国区块链应用研究中心、上海淳粹文化传媒有限公司、杭州加密谷区块链科技有限公司联合发布《加密数字钱包APP信息安全现状白皮书（2018年）》。据悉，这是行业内首次采用公开、合法的信息，运用科学的研究方法，对当前加密数字钱包行业相关移动应用做出的信息安全分析评判。

区块链安全研究中心（Blockchain Security Research Center)，是于2018年7月，由上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室联合上海掌御信息科技有限公司共同组建的，主要致力于区块链安全相关领域的基础研究，开展包括但不限于区块链安全技术研发，区块链应用场景安全研究，区块链安全行业标准制定，区块链金融应用合规性研究等方向的研究工作，并针对全球主流的基础公链、加密数字钱包和区块链应用进行公开的安全审计。

14款数字钱包评测结果差距明显

研究团队选择了6款去中心化数字钱包（JAXX、比特派、KCash、麦子钱包、imToken、数字钱包校园版）和8款包含数字钱包功能的中心化交易平台（包括火币、Coinbase、ZB、EXX、Bibox、IDAX、OKEx、LBANK）进行了评测。

本次的评测结果表明，加密数字钱包APP仍然存在大量安全问题，特别是私钥保护方面，实现安全性存在严重不足。其中，去中心化加密数字钱包类APP在实现安全性上有喜有忧，不同的APP安全防护水平存在较大的差别。中心化加密数字钱包APP则普遍存在实现安全性问题，以及密码算法协议安全问题。另外，不同的APP安全防护水平存在较大的差别，部分防护较弱的APP可能轻易被黑客攻击，从而造成用户的信息泄露和财产损失。

白皮书中公布了数字钱包测评的最终排名，得分最高的去中心化数字钱包是imToken，得分最低的去中心化数字钱包是数字钱包校园版；得分最高的中心化交易所是火币，得分最低的是LBank。

· 去中心化加密数字钱包APP排行：

· 中心化加密数字钱包APP排行：

说明：评分越高代表越安全。

白皮书在公布针对14个主流加密数字钱包的测评标准、测试方法和测评结果的同时，也提出了“加密数字钱包的私钥使用安全最佳实践”的五个注意事项，包括无论是否加密，钱包私钥不能存放在服务器上；无论是否加密，钱包私钥不能存放在外部存储卡上；钱包私钥不能以明文存储在私有目录；使用过钱包私钥后需要及时清理内存；钱包私钥需要配合助记词使用，生成助记词过程禁止截屏。

白皮书也在三个方面，提出“加密数字钱包APP代码安全规范”：在交易数据传输方法和实现方面，包括钱包私钥不能通过网络传输，不能使用HTTP明文进行数据通信，使用HTTPS则需要验证证书以及绑定证书，若使用自定义协议，则需要有完善的密钥交换协议。在服务器安全方面，服务器通过与客户端的通信接口，应当能够抵御常见的安全威胁。在代码保护方面，代码需要完整性检查码，代码能够防逆向分析，代码能够防进程注入。

数字钱包信息安全需要多方参与构建

中国信息通信研究院泰尔终端实验室信息安全部副主任袁琦给数字钱包用户提出三点建议，包括及时升级加密数字钱包APP，保持最新版本，防止旧版本安全漏洞遭到利用；使用专用的移动设备和移动网络进行操作，并及时升级移动操作系统；关注权威测评机构最新发布的加密数字钱包APP安全测试报告。

掌御科技的彭一楠坦言，从我们的测试情况来看，当前存在的大部分问题是因为开发人员缺乏安全意识和专业的安全开发知识所导致。因此，他提醒开发人员在设计数据保护方案，特别是针对深层核心的敏感数据的保护方案时，务必对方案进行严格的安全论证。并建议加密数字钱包APP的开发商在对加密算法、协议等的应用方面没有把握的情况下咨询专业研究团队并进行相关安全审计。

淳粹传媒创始人曾国伟表示，我们希望通过白皮书的发布来呼吁行业内尽早建立关于加密数字钱包的安全评判标准，并让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。同事，希望白皮书的发布能促进行业内同类产品的安全升级，多方参与共同保护用户资产的安全性。

编辑 赵偲容