这次又坑多少人？深度解析Dash钱包关键漏洞

随着区块链市场商业模式的不断丰富，安全问题也不断暴露，其中钱包安全事件屡曝不止。

4月13日，Electrum钱包遭受黑客攻击，黑客利用其钱包漏洞，窃取用户密钥，导致资金被盗。

5月7日，黑客利用币安热钱包安全漏洞，访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息，从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道，有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事，成都链安技术团队做出详细分析：

Martin Leinweber：与2017年上一次熊市不同的是，这次熊市主流币遭到抛售:金色财经报道，VanEck指数制造商MarketVector的数字资产产品策略师 Martin Leinweber 表示，我认为，与 2017 年上一次熊市不同的是，主流币遭到抛售，这让投资者感到困惑，尤其是在机构方面。通常在抛售中，山寨币的表现比 BTC 和 ETH 差。这一次，随着市场崩盘，BTC 的主导地位正在下降，大多数山寨币已经贬值了 90%。[2022/6/21 4:41:33]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时，网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

美联储主席鲍威尔：这次削减资产负债表将会“更早更快”:1月12日消息，美联储主席鲍威尔：我们还没有就削减资产负债表做出任何决定，我们将比上次更早更快地缩减资产负债表。这次削减资产负债表将会“更早更快”。（金十）[2022/1/12 8:42:19]

https://api.dashcoinanalytics.com/stats.php

具体分析步骤如下：

在https://mydashwallet.org/上创建HDWallet以后，网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据，如图所示：

Compound创始人：希望社区可以利用这次清算事件进一步强化协议:Compound创始人Robert Leshner在推特上表示，此前Coinbase Pro上的DAI价格迅速上升，导致从Compound借入的8520万美元DAI被清算。225793名用户中有124人受到影响，没有抵押不足的账户，所有市场都很健康。社区里有很多关于风险、清算和价格的讨论。一些人认为该协议执行得完美无缺，积极防范抵押不足的账户。另一些人则认为这是一个对借款者不利的体系，由于依赖于一个交易所而设计得很糟糕。Compound Dai达到16亿美元，超过全球所有交易所和二级交易场所上的DAI流动性。大规模清算的风险整个夏天都在积聚。希望社区可以利用这次清算事件作为进一步强化协议的催化剂，讨论激进或温和（如MakerDAO）清算系统间的权衡方案，并在必要时增加额外的保障措施。对于那些可能不了解风险、清算机制或市场混乱的尾部风险的用户我深表同情，并鼓励社区找到减轻这一事件对其影响的方法。[2020/11/27 22:18:09]

FormData：为Base64编码后的数据。具体如下：

分析 | 19年初3000-4000区间筑底似曾相识的一段 这次BTC能否王者归来？:分析师K神表示：下面为BTC18年末与19年初3000-4000美金区间震荡筑底走势，与目前BTC从7300拉高至10350在持续回落至当前8100走势对比图，从盘面走势能看出两者有其相似之处，两者前期都是先拉高至高位箱体区间盘整，接着出现破位开始震荡回落，后面再出现快速上拉又快速回落的上下插针走势，清洗市场合约多空单后，再回落至目前相对底部区域震荡，这与19年初筑底走势很相似，前期BTC位于3300-3500区间反复洗盘筹码换手充分后，开始逐步拉升并一路震荡上行至顶点14000美金，成就了19年上半年的小牛行情，历史当然不会简单重复，可以利用数据推测未来大概走势，当前BTC持续位于8000一线弱势整理，有可能也是主力惯用的洗盘手法，后面将会通过区间宽幅震荡的方式逐步消磨持币者的耐心，构筑牢固上涨中继底部结构后，并在明年减半预期的刺激下，有望再度迎来主升浪。[2019/11/21]

解码后数据为：

本地下载MyDashWallet.HDSeed后，打开文件获取数据如下：

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地，如下所示，可通过js脚本直接获取到seed的值。

在解锁钱包时，网页会会直接以POST的方式传送a2c数据，数据跟上面创建钱包时传输的数据一样。

攻击手法：

通过查看网页源码，generateKeystoreFile()函数内容如下：

其中生成enryptedData时，需要传入key和钱包的密码，用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下：

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后，网页向https://api.dashcoinanalytics.com/stats.php传输数据，Initiator是CryptoJSlibByteArray.js:753，其内容如下：

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件，开头内容如下：

此文件中插入大量的空白，真实发送数据的代码从728行开始。内容如下：

通过设定循环执行函数，通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后，直接在浏览器console中输入dashWallet可得以下内容：

从上面的分析来看，攻击者通过某种方式在在线钱包中插入恶意插件，用户使用在线钱包时，加载了恶意插件，恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害：

在线钱包，顾名思义，它是在联网状态下进行交易的钱包，一般又称“热钱包””。其种类多样，有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的，但由于其联网使用的模式，也增加了受到黑客攻击，被盗取秘钥的风险。而一旦被黑客掌握秘钥，就相当于获得了资产的直接掌控权。

此次事件中，用户正是使用此在线钱包后，被攻击者通过某种攻击方式将恶意插件插入钱包中，从而获得钱包用户的密钥，直接利用密钥盗取用户资产的。

对用户的建议：

建议最近使用过此在线钱包的用户，通过其他方式生成新的钱包，并将财产转移至新钱包。

同时，对于会经常使用到在线钱包的用户，我们建议在使用时，在不同平台设置不同的密码，并且开启二次认证。另外，建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

标签：DASHDASASHBTCDASHGCDASHASHITBNBTC价格

MEXC热门资讯