成都链安预警：My Dash Wallet在线钱包存在“关键”漏洞，用户资金面临风险

随着区块链市场商业模式的不断丰富，安全问题也不断暴露，其中钱包安全事件屡曝不止。

 

4月13日，Electrum钱包遭受黑客攻击，黑客利用其钱包漏洞，窃取用户密钥，导致资金被盗。

 

5月7日，黑客利用币安热钱包安全漏洞，访问大量用户应用程序接口密钥（API keys）、双因素身份验证码（2FA码）、以及其他信息，从中盗取7000枚比特币。

 

而近日又有一起钱包被盗事件发生。据相关媒体报道，有网友爆料My Dash Wallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

 

针对一事，成都链安技术团队做出详细分析：

其主要原因在于在线钱包 https://mydashwallet.org 用户在创建HD钱包和解锁HD钱包时，网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到 https://api.dashcoinanalytics.com/stats.php 中。

 

具体分析步骤如下：

在https://mydashwallet.org/ 上创建HDWallet以后，网页会直接向https://api.dashcoinanalytics.com/stats.php 以POST的方式传送数据，如图所示：

 

Form Data：为Base64编码后的数据。具体如下：

a2c:

eyJwayI6ImNlMWRmMjNhMGVmMTY5MmYwZTU0NmI1ZTMyOTY5M2RmMTI2ZWM3NjVkOWJkM2E1ZTI0Mzg0YzBlNWUzZWY1ZmYiLCJhYiI6IlhtVjJOS3Z1SnAzbkRQTVAxVjVWb1ZxWXhoTlRLUE1UaG58MHwiLCJrcyI6IlUyRnNkR1ZrWDE4cm55Vko3MzBpaEJRckNYWFBKWWdmdHN2TmFXUmhHMkNhWE5ZZDlYNXR1TmNvVGZyZ0hsVHJzRjNWSTIrR2hSYkRkNVlydFF6dVAxR3RjUlhuaDRWRXVkdFZ3Si9LbUdKbG4wQllBMElKNmtOUlIwMnd0MHNicmZ4QlFyclBRWmIvK1VMK2lEWERlVktCRXBWbGt4elRFUzdGcVJYMFhNMD0iLCJrc3AiOiJCZW9zaW44NzYifQ==

 

解码后数据为：

{"pk":"ce1df23a0ef1692f0e546b5e329693df126ec765d9bd3a5e24384c0e5e3ef5ff","ab":"XmV2NKvuJp3nDPMP1V5VoVqYxhNTKPMThn|0|","ks":"U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=","ksp":"Beosin876"}

 

本地下载MyDashWallet.HDSeed后，打开文件获取数据如下：

 

U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=

 

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中 “ks” 数据相同。

Seed文件存储在本地，如下所示，可通过js脚本直接获取到seed的值。

 

在解锁钱包时，网页会会直接以POST的方式传送a2c数据，数据跟上面创建钱包是传输的数据一样。

 

攻击手法：

通过查看网页源码，generateKeystoreFile() 函数内容如下：

 

其中生成enryptedData时，需要传入key和钱包的密码，用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下：

 

两个函数都调用了 CryptoJS.AES.decrypt（）函数。

 

当输入解锁钱包密码后，网页向https://api.dashcoinanalytics.com/stats.php 传输数据，Initiator 是 CryptoJSlibByteArray.js:753，其内容如下：

 

 

通过查看网页源码发现网页中加载了引用自 greasyfork.org 的CryptoJSlibByteArray.js文件。

 

直接在浏览器中打开CryptoJSlibByteArray.js文件， 开头内容如下：

 

此文件中插入大量的空白，真实发送数据的代码从728行开始。内容如下：

 

通过设定循环执行函数，通过localStrage获取到相关的HDSeed内容和解锁密码。

在钱包实例化以后，直接在浏览器console中输入dashWallet可得以下内容：

 

从上面的分析来看，攻击者通过某种方式在在线钱包中插入恶意插件，用户使用在线钱包时，加载了恶意插件，恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

 

存在的危害：

在线钱包，顾名思义，它是在联网状态下进行交易的钱包，一般又称“热钱包”。其种类多样，有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的，但由于其联网使用的模式，也增加了受到黑客攻击，被盗取密钥的风险。而一旦被黑客掌握密钥，就相当于获得了资产的直接掌控权。

此次事件中，用户正是使用在线钱包后，被攻击者通过某种攻击方式将恶意插件插入钱包中，从而获得钱包用户的密钥，直接利用密钥盗取用户资产的。

 

对用户的建议：

建议最近使用过此在线钱包的用户，通过其他方式生成新的钱包，并将财产转移至新钱包。同时，对于会经常使用到在线钱包的用户，我们建议在使用时，在不同平台设置不同的密码，并且开启二次认证。

另，建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

欢迎大家体验：

一、智能合约自动形式化验证平台VaaS精简版，准确率达到95%以上

Beosin（成都链安科技）已向全球发布VaaS平台，全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台，准确率达到95%以上。

VaaS（精简版）系统为所有区块链从业者提供方便而免费的智能合约安全审计服务，对智能合约安全漏洞进行形式化验证，从容应对常规合约安全问题。欢迎大家登陆官方网址体验：

官方网址：

https://beosin.com/vaas/index.html#/audit/ptsj

▲VaaS 精简版平台

二、在线 Beosin-IDE 免费版本

Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境，可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。

欢迎大家免费体验：通过浏览器访问

https://beosin.com/BEOSIN-IDE/index.html#/

（如下图，推荐Chrome浏览器）。

▲Beosin EOS-IDE

Beosin官方发表正式声明：

为了全球化市场战略需要，公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司，“Beosin”力求为行业保驾护航，以打造区块链全生态安全为宗旨，竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全审计、DApp渗透测试、区块链平台安全检测、交易所安全服务、安全产品定制化服务、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图：

近期，有XX链安科技与成都链安科技重名，且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司，与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌，谨防上当受骗，一切消息以官网及官方公众号为准。

成都链安科技官方公众号名称：Beosin成都链安

成都链安科技官方网址：

www.lianantech.com

——Beosin

关于Beosin：

Beosin成都链安是一家专门从事区块链安全的公司，由从事航空、航天、军事安全领域10多年的，形式化验证技术专家电子科技大学杨霞、郭文生两位教授联合创立，团队核心员工由海外知名高校和实验室、具留学经历的教授、博士后、博士以及曾任职于阿里、华为等知名企业的精英组成。

是全球最早一批将形式化验证技术应用到区块链安全领域的团队，率先研发了国际领先、同时支持多个区块链平台（ETH，EOS，Fabric，蚂蚁BaaS、ONT、BCOS等）的智能合约自动形式化验证平台VaaS（准确率达到95%以上），并搭建了一站式区块链安全服务平台，建立了一整套“区块链安全开发—— 基于形式化验证的安全检测——运行时安全监控与防护”的完善安全防御体系，用户数已超过2万人，申请软件发明专利和著作权10多项，已审计智能合约近千份，审计链平台几十个，精通多个主流区块链平台。

目前成都链安已获得分布式资本、界石资本、盘古创富等著名投资机构的股权投资，与蚂蚁金服、普华永道、微众银行、ONT、NEO、Qtum、布比区块链、R3V等国内外60多家区块链企业，Huobi、OKEx、KuCoin、抹茶、链上等近百家数字货币交易所建立长期战略合作关系。

「Beosin」

作为Huobi、OKEx、KuCoin

CoinBene、CoinTiger等

著名交易所指定的合约审计公司。 

入选Etherscan智能合约安全审计名单。

欢迎联系Beosin，了解智能合约安全审计

智能合约开发审计一条龙

钱包安全审计

DApp渗透测试

区块链平台安全检测

交易所安全服务

安全产品定制化服务

企业级安全服务

 ·

电话：028-83262585

网站：www.lianantech.com

邮箱：vaas@lianantech.com

地址：成都市世纪城南路599号

天府软件园D7座504室

官网：

https://www.lianantech.com

GitHub网址：

https://github.com/Lianantech/VCA

Facebook网址：

https://www.facebook.com/BeosinChengdu/

twitter网址：

https://twitter.com/Beosin_com

Telegram中文群：

https://t.me/LiananTech_cn

Telegram英文群：

https://t.me/LiananTech_en

微博：

https://weibo.com/u/6566884467

CSDN博客：

https://blog.csdn.net/CDLianan

知乎专栏：

   点击了解更多