请选择 进入手机版 | 继续访问电脑版
开启辅助访问
链路首页链路财经目前收录 币种 : 4908 交易所 : 310钱包 : 17 24H 交易量 : $43,403,137,051 总市值 : $245,388,183,835
2019
07/12
18:26
分享
评论

  • 随着区块链市场商业模式的不断丰富,安全问题也不断暴露,其中钱包安全事件屡曝不止。

     

    4月13日,Electrum钱包遭受黑客攻击,黑客利用其钱包漏洞,窃取用户密钥,导致资金被盗。

     

    5月7日,黑客利用币安热钱包安全漏洞,访问大量用户应用程序接口密钥(API keys)、双因素身份验证码(2FA码)、以及其他信息,从中盗取7000枚比特币。

     

    而近日又有一起钱包被盗事件发生。据相关媒体报道,有网友爆料My Dash Wallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

     

    针对一事,成都链安技术团队做出详细分析:

    其主要原因在于在线钱包 https://mydashwallet.org 用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到 https://api.dashcoinanalytics.com/stats.php 中。

     


    具体分析步骤如下:


    https://mydashwallet.org/ 上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php POST的方式传送数据,如图所示:

     


    Form Data:为Base64编码后的数据。具体如下:

    a2c:

    eyJwayI6ImNlMWRmMjNhMGVmMTY5MmYwZTU0NmI1ZTMyOTY5M2RmMTI2ZWM3NjVkOWJkM2E1ZTI0Mzg0YzBlNWUzZWY1ZmYiLCJhYiI6IlhtVjJOS3Z1SnAzbkRQTVAxVjVWb1ZxWXhoTlRLUE1UaG58MHwiLCJrcyI6IlUyRnNkR1ZrWDE4cm55Vko3MzBpaEJRckNYWFBKWWdmdHN2TmFXUmhHMkNhWE5ZZDlYNXR1TmNvVGZyZ0hsVHJzRjNWSTIrR2hSYkRkNVlydFF6dVAxR3RjUlhuaDRWRXVkdFZ3Si9LbUdKbG4wQllBMElKNmtOUlIwMnd0MHNicmZ4QlFyclBRWmIvK1VMK2lEWERlVktCRXBWbGt4elRFUzdGcVJYMFhNMD0iLCJrc3AiOiJCZW9zaW44NzYifQ==

     

    解码后数据为:

    {"pk":"ce1df23a0ef1692f0e546b5e329693df126ec765d9bd3a5e24384c0e5e3ef5ff","ab":"XmV2NKvuJp3nDPMP1V5VoVqYxhNTKPMThn|0|","ks":"U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=","ksp":"Beosin876"}

     

    本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:

     


    U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=

     

    MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中 “ks” 数据相同。


    Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。

     


    在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包是传输的数据一样。

     


    攻击手法:


    通过查看网页源码,generateKeystoreFile() 函数内容如下:

     


    其中生成enryptedData时,需要传入key和钱包的密码,用于加密生成HDSeed文件。


    解锁钱包的unlockKeystore()函数内容如下:

     


    两个函数都调用了 CryptoJS.AES.decrypt()函数。

     

    当输入解锁钱包密码后,网页向https://api.dashcoinanalytics.com/stats.php 传输数据,Initiator CryptoJSlibByteArray.js:753,其内容如下:

     

     

    通过查看网页源码发现网页中加载了引用自 greasyfork.org CryptoJSlibByteArray.js文件。

     


    直接在浏览器中打开CryptoJSlibByteArray.js文件, 开头内容如下:

     


    此文件中插入大量的空白,真实发送数据的代码从728行开始。内容如下:

     


    通过设定循环执行函数,通过localStrage获取到相关的HDSeed内容和解锁密码。


    在钱包实例化以后,直接在浏览器console中输入dashWallet可得以下内容:

     


    从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

     


    存在的危害:


    在线钱包,顾名思义,它是在联网状态下进行交易的钱包,一般又称“热钱包”。其种类多样,有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的,但由于其联网使用的模式,也增加了受到黑客攻击,被盗取密钥的风险。而一旦被黑客掌握密钥,就相当于获得了资产的直接掌控权。


    此次事件中,用户正是使用在线钱包后,被攻击者通过某种攻击方式将恶意插件插入钱包中,从而获得钱包用户的密钥,直接利用密钥盗取用户资产的。

     


    对用户的建议:


    建议最近使用过此在线钱包的用户,通过其他方式生成新的钱包,并将财产转移至新钱包。同时,对于会经常使用到在线钱包的用户,我们建议在使用时,在不同平台设置不同的密码,并且开启二次认证。


    另,建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。



    欢迎大家体验:


    一、智能合约自动形式化验证平台VaaS精简版,准确率达到95%以上


    Beosin(成都链安科技)已向全球发布VaaS平台,全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台,准确率达到95%以上。


    VaaS(精简版)系统为所有区块链从业者提供方便而免费的智能合约安全审计服务,对智能合约安全漏洞进行形式化验证,从容应对常规合约安全问题。欢迎大家登陆官方网址体验:


    官方网址:

    https://beosin.com/vaas/index.html#/audit/ptsj


    ▲VaaS 精简版平台


    二、在线 Beosin-IDE 免费版本


    Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境,可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。


    欢迎大家免费体验:通过浏览器访问

    https://beosin.com/BEOSIN-IDE/index.html#/

    (如下图,推荐Chrome浏览器)。


    ▲Beosin EOS-IDE


    Beosin官方发表正式声明:


    为了全球化市场战略需要,公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司,“Beosin”力求为行业保驾护航,以打造区块链全生态安全为宗旨,竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全审计、DApp渗透测试、区块链平台安全检测、交易所安全服务、安全产品定制化服务、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图:



    近期,有XX链安科技与成都链安科技重名,且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司,与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌,谨防上当受骗,一切消息以官网及官方公众号为准。


    成都链安科技官方公众号名称:Beosin成都链安

    成都链安科技官方网址:

    www.lianantech.com

    ——Beosin



    关于Beosin:


    Beosin成都链安是一家专门从事区块链安全的公司,由从事航空、航天、军事安全领域10多年的,形式化验证技术专家电子科技大学杨霞、郭文生两位教授联合创立,团队核心员工由海外知名高校和实验室、具留学经历的教授、博士后、博士以及曾任职于阿里、华为等知名企业的精英组成。


    是全球最早一批将形式化验证技术应用到区块链安全领域的团队,率先研发了国际领先、同时支持多个区块链平台(ETH,EOS,Fabric,蚂蚁BaaS、ONT、BCOS等)的智能合约自动形式化验证平台VaaS(准确率达到95%以上),并搭建了一站式区块链安全服务平台,建立了一整套“区块链安全开发—— 基于形式化验证的安全检测——运行时安全监控与防护”的完善安全防御体系,用户数已超过2万人,申请软件发明专利和著作权10多项,已审计智能合约近千份,审计链平台几十个,精通多个主流区块链平台。


    目前成都链安已获得分布式资本、界石资本、盘古创富等著名投资机构的股权投资,与蚂蚁金服、普华永道、微众银行、ONT、NEO、Qtum、布比区块链、R3V等国内外60多家区块链企业,Huobi、OKEx、KuCoin、抹茶、链上等近百家数字货币交易所建立长期战略合作关系。






    Beosin

    作为Huobi、OKEx、KuCoin

    CoinBene、CoinTiger等

    著名交易所指定的合约审计公司。 

    入选Etherscan智能合约安全审计名单。


    欢迎联系Beosin,了解智能合约安全审计

    智能合约开发审计一条龙

    钱包安全审计

    DApp渗透测试

    区块链平台安全检测

    交易所安全服务

    安全产品定制化服务

    企业级安全服务

     ·

    电话:028-83262585

    网站:www.lianantech.com

    邮箱:vaas@lianantech.com

    地址成都市世纪城南路599号

    天府软件园D7座504室


    官网:

    https://www.lianantech.com


    GitHub网址:

    https://github.com/Lianantech/VCA


    Facebook网址

    https://www.facebook.com/BeosinChengdu/


    twitter网址:

    https://twitter.com/Beosin_com


    Telegram中文群:

    https://t.me/LiananTech_cn


    Telegram英文群:

    https://t.me/LiananTech_en


    微博:

    https://weibo.com/u/6566884467


    CSDN博客:

    https://blog.csdn.net/CDLianan


    知乎专栏:



      点击了解更多



主题帖 20 关注 0 粉丝 0
情感指数

链路大数据分析置信度 5.75 %

TA的主题帖
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表