Cobo金库已通过PeckShield全面安全审计
近期, Cobo 金库硬件钱包通过了区块链安全公司 PeckShield 的安全审计服务。
Cobo 是国内知名的一站式数字资产存储和增值管理平台,旗下有 Cobo 钱包(C端中心化钱包),Cobo 托管(B 端企业级钱包),以及 Cobo 金库(去中心化硬件钱包)三条完整产品线。而这次 PeckShield 展开安全审计服务的 Cobo 金库是 Cobo 旗下第二代硬件钱包产品,号称是一款实现“全脱网,全开源”的安全硬件数字钱包。
一款硬件钱包要做到哪些才足够安全可靠呢?据 Cobo 官方介绍:
1)为了提升Cobo金库的脱网程度。Cobo 金库移除了所有 USB 接口、蓝牙、NFC、WiFi、基带等所有通讯模块,在软硬交互方面也采用了动态二维码,确保所有出入数据都透明可验证,确保不会有恶意代码注入硬件钱包,进而成为了真正意义上的冷钱包。
2)为了保障用户私钥安全。Cobo 金库采用银行级的安全芯片。一方面可生成真随机数用于私钥派生,能够有效防止冷启动攻击,故障攻击,功耗监控攻击等一系列旁路攻击;另一方面,还能确保私钥派生、交易签名等敏感操作也全部在安全芯片内完成,确保了私钥的安全性。
此外,为了尽可能杜绝一切攻击的可能性,Cobo 金库还采用了官网验证,拆机自毁等多层复合安全机制,全方位防控来自外界的多重威胁,为用户的数字资产安全保驾护航。
负责此次 Cobo 金库硬件钱包审计工作的 PeckShield 安全审计人员认为:
硬件钱包是将私钥存储在硬件安全芯片中,并将其与网络设备的完全隔离以确保安全。因此设备端自身的安全性尤为重要。
我们安全分析工作主要集中于三个层面:App 层,设备系统层和安全芯片层,主要审计内容如下:
1. 安全芯片数据存储安全:是否可以直接导出私钥助记词,是否可被暴力破解;
2. 安全芯片程序安全:程序中业务逻辑和代码本身是否存在漏洞,以及是否会被恶意植入代码等问题进行审计;
3. 设备操作系统(Android):是否系统本身会被攻击和破解,安全芯片是否有被篡改和攻击的可能;
4. 应用层App的业务逻辑层:是否物理隔离,App 自身安全,是否存在后门等问题。
经过分析,我们发现一些漏洞,且与 Cobo 金库开发人员进行多轮沟通后协助修复了漏洞,目前主要问题都已经修复,可安全上线。
但需要提醒的是,使用硬件钱包并不能使您完全免受一切社会工程学、物理威胁或人为错误使用的潜在安全隐患。 用户必须遵守硬钱包使用注意事项,学会妥善、安全保存助记词和硬钱包硬件等。
PeckShield 作为业内领先的区块链安全公司,安全业务已覆盖全球范围,主要客户包括有:公链提供商 (EOS、Nervos、Harmony、AVA、HBTC、NEO 、IOST、Bytom、TRON、OKChain),头部钱包和矿池 (imToken、SparkPool、比特派、Cobo 金库,VoiceWallet),以及头部交易所(Huobi、KuCoin、Bithumb、Upbit、OKex)、DeFi 应用及智能合约(MakerDAO、StarkWare、Tokenlon、InstaDApp、Set Protocol、Ren Project、Hydro Protocol、dForce、Newdex、HoneyLemon)等。
Ps:本次审计报告已上传至GitHub,点击“阅读原文”可自行下载查阅。
Cobo 金库 简介:
Cobo 金库是 Cobo 旗下一款硬件数字钱包,其使用了动态二维码通讯做到全脱网,并使用了一颗 EAL 5+ 银行级安全芯片(安全芯片固件已开源),同时采用了官网验证,拆机自毁等多层复合安全机制,全方位防控来自外界的多重威胁,为用户的数字资产安全保驾护航。
PeckShield 简介:
PeckShield「派盾」成⽴于2018年,是业界领先的区块链安全公司,核心团队曾服务于360、Intel、Juniper、Alibaba 等全球知名厂商,团队成员多次原创发现底层核心安全漏洞获得各大厂商官方致谢。
PeckShield 作为早期专注于区块链生态的头部安全公司,基于安全团队二十年来在代码分析、操作系统、⼤数据等安全业务领域的积累,提出了一整套渗透测试、代码审计、应急响应、链上数据监测,AML 反洗钱等安全与数据综合解决方案,业务覆盖区块链生态安全的各个环节。PeckShield 团队因多个关键安全漏洞发现而广受业内关注,被 Etherscan.io 纳入智能合约安全审计推荐名单,同时跻身「以太坊赏金猎人」全球排名 Top 3。
PeckShield 旗下成立了 DAppTotal、DAppShield、CoinHolmes 等多个独立的数据与安全服务品牌,致力于提升区块链生态整体的安全性、隐私性以及可用性,并为生态用户提供切实有效的数据与安全解决方案和服务。