在Web3领域,密钥托管(crypto custody)是维护用户资产安全的关键环节,业界广泛应用多种先进技术,如硬件钱包和可信执行环境(TEE),用于保障用户资产安全。然而,近年来频发的安全事件揭示了现有托管方案在设计与实践层面的诸多不足。
本次演讲将首先围绕硬件钱包,梳理其实现细节、隔离和安全机制、工作流程和交互协议等,以及可能存在的风险点;另外,我们将探讨结合TEE技术的硬件钱包的设计与安全保证,以及配置不当可能导致的安全风险;最后,我们将分享基于TrustZone 的移动端钱包的实现方案,在肯定其安全优势的同时,也剖析其存在的内存损坏漏洞等潜在威胁。
我们将深入分析真实案例中的安全漏洞,从设计方面分析其安全机制,讨论实现过程中出现漏洞的原因,揭示代码缺陷、配置错误等设计与实现层面的疏忽如何导致任意代码执行、用户私钥泄露等直接威胁用户资产的严重后果。
针对过往的风险,我们为安全开发者和Web3爱好者提供了密钥托管的开源方案和示例应用。该应用基于我们的开源SDK实现,依赖于ARM TrustZone硬件级安全隔离特性和Rust语言的内存安全优势,为密钥托管场景提供了安全且易用的综合性解决方案,并解决了在实现过程中可能存在的内存安全漏洞等关键问题。
庄园
CertiK Skyfall团队安全研究员。主要研究方向为TEE(可信执行环境)和Web3安全。
1. 了解现有托管方案在设计与实践层面的不足
2. 了解硬件钱包的安全机制以及可能存在的风险点
3. 了解TrustZone的移动端钱包实现方案的优势及潜在威胁
4. 了解真实案例中的安全漏洞成因
5. 提供密钥托管的开源方案和示例应用
更多议题细节,欢迎来峰会现场聆听
球分享
球点赞
球在看
点击阅读原文查看更多
原文始发于微信公众号(看雪学苑):SDC2024议题聚焦 | 从硬件钱包到TrustZone:Web3密钥托管的安全挑战与解决方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论