宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MEXC > 正文

这次又坑多少人?深度解析Dash钱包关键漏洞

作者:

时间:1900/1/1 0:00:00

随着区块链市场商业模式的不断丰富,安全问题也不断暴露,其中钱包安全事件屡曝不止。

4月13日,Electrum钱包遭受黑客攻击,黑客利用其钱包漏洞,窃取用户密钥,导致资金被盗。

5月7日,黑客利用币安热钱包安全漏洞,访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息,从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道,有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事,成都链安技术团队做出详细分析:

Martin Leinweber:与2017年上一次熊市不同的是,这次熊市主流币遭到抛售:金色财经报道,VanEck指数制造商MarketVector的数字资产产品策略师 Martin Leinweber 表示,我认为,与 2017 年上一次熊市不同的是,主流币遭到抛售,这让投资者感到困惑,尤其是在机构方面。通常在抛售中,山寨币的表现比 BTC 和 ETH 差。这一次,随着市场崩盘,BTC 的主导地位正在下降,大多数山寨币已经贬值了 90%。[2022/6/21 4:41:33]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

美联储主席鲍威尔:这次削减资产负债表将会“更早更快”:1月12日消息,美联储主席鲍威尔:我们还没有就削减资产负债表做出任何决定,我们将比上次更早更快地缩减资产负债表。这次削减资产负债表将会“更早更快”。(金十)[2022/1/12 8:42:19]

https://api.dashcoinanalytics.com/stats.php

具体分析步骤如下:

在https://mydashwallet.org/上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据,如图所示:

Compound创始人:希望社区可以利用这次清算事件进一步强化协议:Compound创始人Robert Leshner在推特上表示,此前Coinbase Pro上的DAI价格迅速上升,导致从Compound借入的8520万美元DAI被清算。225793名用户中有124人受到影响,没有抵押不足的账户,所有市场都很健康。社区里有很多关于风险、清算和价格的讨论。一些人认为该协议执行得完美无缺,积极防范抵押不足的账户。另一些人则认为这是一个对借款者不利的体系,由于依赖于一个交易所而设计得很糟糕。Compound Dai达到16亿美元,超过全球所有交易所和二级交易场所上的DAI流动性。大规模清算的风险整个夏天都在积聚。希望社区可以利用这次清算事件作为进一步强化协议的催化剂,讨论激进或温和(如MakerDAO)清算系统间的权衡方案,并在必要时增加额外的保障措施。对于那些可能不了解风险、清算机制或市场混乱的尾部风险的用户我深表同情,并鼓励社区找到减轻这一事件对其影响的方法。[2020/11/27 22:18:09]

FormData:为Base64编码后的数据。具体如下:

分析 | 19年初3000-4000区间筑底似曾相识的一段 这次BTC能否王者归来?:分析师K神表示:下面为BTC18年末与19年初3000-4000美金区间震荡筑底走势,与目前BTC从7300拉高至10350在持续回落至当前8100走势对比图,从盘面走势能看出两者有其相似之处,两者前期都是先拉高至高位箱体区间盘整,接着出现破位开始震荡回落,后面再出现快速上拉又快速回落的上下插针走势,清洗市场合约多空单后,再回落至目前相对底部区域震荡,这与19年初筑底走势很相似,前期BTC位于3300-3500区间反复洗盘筹码换手充分后,开始逐步拉升并一路震荡上行至顶点14000美金,成就了19年上半年的小牛行情,历史当然不会简单重复,可以利用数据推测未来大概走势,当前BTC持续位于8000一线弱势整理,有可能也是主力惯用的洗盘手法,后面将会通过区间宽幅震荡的方式逐步消磨持币者的耐心,构筑牢固上涨中继底部结构后,并在明年减半预期的刺激下,有望再度迎来主升浪。[2019/11/21]

解码后数据为:

本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。

在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包时传输的数据一样。

攻击手法:

通过查看网页源码,generateKeystoreFile()函数内容如下:

其中生成enryptedData时,需要传入key和钱包的密码,用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下:

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后,网页向https://api.dashcoinanalytics.com/stats.php传输数据,Initiator是CryptoJSlibByteArray.js:753,其内容如下:

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件,开头内容如下:

此文件中插入大量的空白,真实发送数据的代码从728行开始。内容如下:

通过设定循环执行函数,通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后,直接在浏览器console中输入dashWallet可得以下内容:

从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害:

在线钱包,顾名思义,它是在联网状态下进行交易的钱包,一般又称“热钱包””。其种类多样,有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的,但由于其联网使用的模式,也增加了受到黑客攻击,被盗取秘钥的风险。而一旦被黑客掌握秘钥,就相当于获得了资产的直接掌控权。

此次事件中,用户正是使用此在线钱包后,被攻击者通过某种攻击方式将恶意插件插入钱包中,从而获得钱包用户的密钥,直接利用密钥盗取用户资产的。

对用户的建议:

建议最近使用过此在线钱包的用户,通过其他方式生成新的钱包,并将财产转移至新钱包。

同时,对于会经常使用到在线钱包的用户,我们建议在使用时,在不同平台设置不同的密码,并且开启二次认证。另外,建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。

标签:DASHDASASHBTCDASHGCDASHASHITBNBTC价格

MEXC热门资讯
BTC强势拉高至13000 后续或将创出年度新高

今天早间泰达公司继续增发1亿枚USDT,截止目前USDT的流通市值已经高达38.46亿美元,而在19年初的时候市值才19亿美元,总市值增幅已然翻倍,图形看4月开始大幅增发USDT,总市值直线拉升.

1900/1/1 0:00:00
安全分析:Libra缺乏加密密钥安全的基本组成部分

StevenSprague是可信计算技术应用领域的主要布道者之一。史蒂文曾在WaveSystemsCorp.担任总裁兼首席执行长14年,之后进入董事会.

1900/1/1 0:00:00
干货 | Nick Szabo:货币的起源(Part-6):战利品与侵权补偿

战利品 在猩猩族群乃至狩猎-采集文化,因暴力而致的死亡率远高于现代文明中的相应值。这种情形至少可以追溯到我们与黑猩猩的共同祖先那里——猩猩族群总是处在对抗当中.

1900/1/1 0:00:00
Polkadot区块链治理大揭秘 理事会成员仅6-24位

以下为Polkadot治理机制的译文:Polkadot建立了一个新的治理模型,旨在实现一个健康的网络以适应用户需求。对分布式协议进行升级需要大量的协调工作,而实现新的功能会带来昂贵的开销,这使得更改难以被采用.

1900/1/1 0:00:00
Facebook致信国会参议员:Libra不会获取用户的个人财务信息

Facebook区块链主管DavidMarcus致信美国国会参议员称,Facebook无法通过其新的加密货币Libra获取用户的个人财务信息.

1900/1/1 0:00:00
你的比特币为何提前“减半” | BlockVC观察者

核心观点: 透过利率、汇率和黄金价格变化,理解本轮行情比特币价格变化深度逻辑。近期美联储释放降息预期减弱信号,宏观因子影响边际减弱,行情重回情绪博弈;市场风格持续大幅分化,最近30日TOP500币中,约50%币种对美元计价收益为负,超.

1900/1/1 0:00:00