比特币:这次又坑多少人?深度解析Dash钱包关键漏洞

随着区块链市场商业模式的不断丰富,安全问题也不断暴露,其中钱包安全事件屡曝不止。

4月13日,Electrum钱包遭受黑客攻击,黑客利用其钱包漏洞,窃取用户密钥,导致资金被盗。

5月7日,黑客利用币安热钱包安全漏洞,访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息,从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道,有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事,成都链安技术团队做出详细分析:

美联储主席鲍威尔:这次削减资产负债表将会“更早更快”:1月12日消息,美联储主席鲍威尔:我们还没有就削减资产负债表做出任何决定,我们将比上次更早更快地缩减资产负债表。这次削减资产负债表将会“更早更快”。(金十)[2022/1/12 8:42:19]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

https://api.dashcoinanalytics.com/stats.php

具体分析步骤如下:

在https://mydashwallet.org/上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据,如图所示:

分析 | 19年初3000-4000区间筑底似曾相识的一段 这次BTC能否王者归来?:分析师K神表示:下面为BTC18年末与19年初3000-4000美金区间震荡筑底走势,与目前BTC从7300拉高至10350在持续回落至当前8100走势对比图,从盘面走势能看出两者有其相似之处,两者前期都是先拉高至高位箱体区间盘整,接着出现破位开始震荡回落,后面再出现快速上拉又快速回落的上下插针走势,清洗市场合约多空单后,再回落至目前相对底部区域震荡,这与19年初筑底走势很相似,前期BTC位于3300-3500区间反复洗盘筹码换手充分后,开始逐步拉升并一路震荡上行至顶点14000美金,成就了19年上半年的小牛行情,历史当然不会简单重复,可以利用数据推测未来大概走势,当前BTC持续位于8000一线弱势整理,有可能也是主力惯用的洗盘手法,后面将会通过区间宽幅震荡的方式逐步消磨持币者的耐心,构筑牢固上涨中继底部结构后,并在明年减半预期的刺激下,有望再度迎来主升浪。[2019/11/21]

FormData:为Base64编码后的数据。具体如下:

巴克莱分析师:比特币泡沫正在爆发 这次不会看到熊市后的复苏:据ccn报道,由Joseph Abate领导的一组巴克莱分析师周二在写给客户的消息中写道,比特币和其他所谓的资产泡沫和传染病的蔓延形成了类似的过程。即由于加密货币投资者对“感染”产生了免疫力,比特币价格泡沫将会破裂。巴克莱表示,随着越来越多的人成为资产持有者,可能成为新买家的潜在人口比例下降,而潜在卖家(复苏)人口比例上升。最终,这会导致价格持续上涨。随着价格冲击拉高卖家与买家比例,价格开始下跌。这会引发投机性抛售压力,因为价格下跌预计呈指数增长。分析师声称比特币价格从12月份的高点下跌了65%,不太可能看到它在之前的熊市之后经历的那种复苏。分析师总结说:“我们认为加密货币投资的投机泡沫阶段也许可能正是高峰期,也许可能已经过去了。”[2018/4/11]

解码后数据为:

杀软件McAfee的创始人:这次加密货币下跌都是摩根大通全球市场策略师搞的鬼:了解John McAfee的人都知道,此人不仅是网络安全领域的传奇人物——著名杀软件McAfee的创始人,他还是一位坚定的比特币信仰者。对于近日比特币的大跌,McAfee在推特上表示:“放松各位!这次加密货币下跌都是摩根大通的Mike Bell(摩根大通全球市场策略师)搞的鬼,他声称政府会禁止加密货币。好吧…怎么做?摩根大通这家公司就是声称比特币是欺诈的那家公司。他们非常害怕我们正在做的事情。但是他们无法阻止我们。”[2018/1/18]

本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。

在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包时传输的数据一样。

攻击手法:

通过查看网页源码,generateKeystoreFile()函数内容如下:

其中生成enryptedData时,需要传入key和钱包的密码,用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下:

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后,网页向https://api.dashcoinanalytics.com/stats.php传输数据,Initiator是CryptoJSlibByteArray.js:753,其内容如下:

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件,开头内容如下:

此文件中插入大量的空白,真实发送数据的代码从728行开始。内容如下:

通过设定循环执行函数,通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后,直接在浏览器console中输入dashWallet可得以下内容:

从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害:

在线钱包,顾名思义,它是在联网状态下进行交易的钱包,一般又称“热钱包””。其种类多样,有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的,但由于其联网使用的模式,也增加了受到黑客攻击,被盗取秘钥的风险。而一旦被黑客掌握秘钥,就相当于获得了资产的直接掌控权。

此次事件中,用户正是使用此在线钱包后,被攻击者通过某种攻击方式将恶意插件插入钱包中,从而获得钱包用户的密钥,直接利用密钥盗取用户资产的。

对用户的建议:

建议最近使用过此在线钱包的用户,通过其他方式生成新的钱包,并将财产转移至新钱包。

同时,对于会经常使用到在线钱包的用户,我们建议在使用时,在不同平台设置不同的密码,并且开启二次认证。另外,建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:498ms