Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] SoK: Design, Vulnerabilities, and Security Measures of Cryptocurrency Wallets

Yimika Erinle, Yathin Kethepalli|arXiv (Cornell University)|Jul 24, 2023
Blockchain Technology Applications and Security被引用数 8
ひとこと要約

暗号通貨ウォレットの総合的な調査。 Custodial/Non-custodial、Hot/Cold、さまざまなウォレットアーキテクチャにわたる分類、セキュリティ脆弱性、攻撃、および防御機構を提示。 攻撃と防御を分析し、将来の研究方向性を概説。

ABSTRACT

With the advent of decentralised digital currencies powered by blockchain technology, a new era of peer-to-peer transactions has commenced. The rapid growth of the cryptocurrency economy has led to increased use of transaction-enabling wallets, making them a focal point for security risks. As the frequency of wallet-related incidents rises, there is a critical need for a systematic approach to measure and evaluate these attacks, drawing lessons from past incidents to enhance wallet security. In response, we introduce a multi-dimensional design taxonomy for existing and novel wallets with various design decisions. We classify existing industry wallets based on this taxonomy, identify previously occurring vulnerabilities and discuss the security implications of design decisions. We also systematise threats to the wallet mechanism and analyse the adversary's goals, capabilities and required knowledge. We present a multi-layered attack framework and investigate 84 incidents between 2012 and 2024, accounting for $5.4B. Following this, we classify defence implementations for these attacks on the precautionary and remedial axes. We map the mechanism and design decisions to vulnerabilities, attacks, and possible defence methods to discuss various insights.

研究の動機と目的

  • custody、接続性、およびインフラストラクチャで暗号ウォレットを分類し、セキュリティへの影響を明確化する。
  • ウォレットタイプ全体で一般的な脆弱性と攻撃ベクトルを特定・分類する。
  • ウォレットセキュリティの現有防御機構と緩和戦略を評価する。
  • 防御と取引モニタリングのアプローチを調査してウォレットの脅威を緩和する。
  • ウォレットの堅牢性とエコシステムの信頼性を向上させる将来の研究方向を提案する。

提案手法

  • custody(custodial vs non-custodial)、接続性(hot vs cold)、インフラストラクチャ(ソフトウェア、ハードウェア、ペーパーなど)に基づくウォレットタイプの分類法を構築する。
  • 鍵管理、ウォレット設計、ウォレットセキュリティの文献をレビュー・統合し、脆弱性と防御をマッピングする。
  • ネットワーク、アプリケーション、ブロックチェーン、認証のカテゴリに分けて攻撃を整理し、防御を要約する。
  • マルチシグ、HDウォレット、 mnemonicコード、MPCベースのアプローチなど、ウォレット機能の比較分析を提供する。
  • アルゴリズム、ウォレット、取引所の表を作成し、セキュリティ特性とリスクを対比する。

実験結果

リサーチクエスチョン

  • RQ1 custody、接続性、およびインフラストラクチャ全体の主要なウォレットカテゴリとそのセキュリティへの影響は何か。
  • RQ2 異なるウォレットタイプに影響を与える一般的な脆弱性と攻撃ベクトルは何か。
  • RQ3 既存の防御と緩和策は何か、ウォレットカテゴリ全体でどれくらい効果的か。
  • RQ4 高度なウォレット概念(例:HDウォレット、マルチシグ、MPC、アカウント抽象化)はセキュリティ姿勢にどう影響するか。
  • RQ5 ウォレットセキュリティにはどのようなギャップが残っており、将来の研究はどの方向に進むべきか。

主な発見

  • Custodialウォレットは相手先リスクを生むが、機関セキュリティ実践を実装できる;非保管ウォレットはユーザーコントロールを可能にするが、ユーザー側のセキュリティが堅牢である必要がある。
  • Hotウォレットは利便性を提供するが、ネットワークおよびアプリケーション攻撃に対してより露出している; Coldウォレットはオンライン曝露を減らすが、ソーシャルエンジニアリングとサイドチャンネルリスクに直面する。
  • ソフトウェア、ハードウェア、ペーパー、ブレイン、スマートコントラクトウォレットなど、さまざまなウォレットアーキテクチャは異なるセキュリティのトレードオフと攻撃面を提供する。
  • 攻撃はネットワーク(匿名性の低下、mitm、dns、dos)、アプリケーション(フィッシング、マルウェア、ソーシャルエンジニアリング)、ブロックチェーン(リエントラニー、タイムスタンプ、取引順序)、認証(サイドチャネル、総当たり)にまたがる。
  • 防御機構には、エアギャップのあるハードウェアウォレット、セキュアな鍵ストレージ、マルチシグスキーム、 mnemonic保護、MPC、ERC-4337のようなアカウント抽象化モデルが含まれるが、 seed保護のためのユーザー実践は依然重要。
  • この研究は、ウォレット技術と攻撃/脆弱性の包括的な比較を提供し、ギャップを浮き彫りにし、より安全なウォレット設計と実装のための方向性を提案している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。