近期，CertiK发布了《2022年Web3.0行业安全报告》，在报告中我们可以看到2022年对于整个数字资产行业来说是艰难的一年。

2022年恶意行为者从Web3.0协议中盗取了价值超过37亿美元的资产，这个数字比2021年的13亿美元损失增加了189%。

这些资产被盗的原因大部分是由于网络钓鱼攻击中的私钥泄露或智能合约中的漏洞，但也有相当数量的资金是被盗于数字货币钱包。

这些钱包事件既影响了个人用户，如Fenbushi Capital的Bo Shen：4200万美元的数字货币资产被盗；也影响了大批用户群体，如Slope及Bitkeep钱包事件，影响了超过9000个用户账户。

然而这些事件中的一部分原本是可以避免的——因为这些漏洞可以在钱包安全评估中被发现。

CertiK在过去几年中已经保障了数百个钱包应用的安全。

在本文中，我们将重新审视2022年发生的与数字货币钱包相关的主要安全事件，并探讨其技术细节。

此外，我们将对我们在为客户的钱包应用程序进行研究和安全评估时发现的常见安全漏洞进行总结。文末我们将列出一些可供钱包用户参考的安全建议，以降低被黑风险。

~2022年主要的加密货币钱包相关事件~

Slope钱包

2022年最著名、影响最大的加密货币钱包安全事件源于Slope钱包对私钥的不当处理。

Slope钱包是一个非托管的数字货币钱包，适用于iOS和Android、Chrome浏览器的扩展。

它支持多个区块链，但主要活跃于Solana区块链。

2022年8月2日晚，价值约410万美元的资产在大约四个小时的时间里被从9231名用户的钱包地址中盗取。

在事件发生的前几个小时，当根本原因不明时，用户就已出现了恐慌，Solana区块链被黑的谣言也开始不胫而走。

在攻击发生的几小时后，一名推特用户发布了一张截图，显示了来自Slope移动钱包的HTTP流量（其中包含了该用户的助记词）。CertiK发现在导入钱包账户时，用户的助记词将被发送到Slope的Sentry日志服务器，任何有权访问日志的人都可以接管该账户并从该地址转移所有资产。

该攻击事件发生两周后，Slope钱包发布了“取证和事件响应报告”。

从报告中我们可以得知，2022年7月28日起，用户私钥就已经会被记录于数据库中，然而这一漏洞风险在经过安全审计或是内部审查后其实非常容易被发现。

发布报告后至今，Slope钱包团队未于社交媒体上再发表任何回应。

Profanity

Profanity是一个基于GPU的Vanity地址（靓号地址）生成工具，允许用户生成自己喜欢的Vanity自定义外部账户（EOA）和智能合约地址。