随着区块链市场商业模式的不断丰富,安全问题也不断暴露,其中钱包安全事件屡曝不止。
4月13日,Electrum钱包遭受黑客攻击,黑客利用其钱包漏洞,窃取用户密钥,导致资金被盗。
5月7日,黑客利用币安热钱包安全漏洞,访问大量用户应用程序接口密钥(API keys)、双因素身份验证码(2FA码)、以及其他信息,从中盗取7000枚比特币。
而近日又有一起钱包被盗事件发生。据相关媒体报道,有网友爆料My Dash Wallet钱包存在安全漏洞、导致用户钱包内资金被盗取。
针对一事,成都链安技术团队做出详细分析:
其主要原因在于在线钱包 https://mydashwallet.org 用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到 https://api.dashcoinanalytics.com/stats.php 中。
具体分析步骤如下:
在https://mydashwallet.org/ 上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php 以POST的方式传送数据,如图所示:
Form Data:为Base64编码后的数据。具体如下:
a2c:
eyJwayI6ImNlMWRmMjNhMGVmMTY5MmYwZTU0NmI1ZTMyOTY5M2RmMTI2ZWM3NjVkOWJkM2E1ZTI0Mzg0YzBlNWUzZWY1ZmYiLCJhYiI6IlhtVjJOS3Z1SnAzbkRQTVAxVjVWb1ZxWXhoTlRLUE1UaG58MHwiLCJrcyI6IlUyRnNkR1ZrWDE4cm55Vko3MzBpaEJRckNYWFBKWWdmdHN2TmFXUmhHMkNhWE5ZZDlYNXR1TmNvVGZyZ0hsVHJzRjNWSTIrR2hSYkRkNVlydFF6dVAxR3RjUlhuaDRWRXVkdFZ3Si9LbUdKbG4wQllBMElKNmtOUlIwMnd0MHNicmZ4QlFyclBRWmIvK1VMK2lEWERlVktCRXBWbGt4elRFUzdGcVJYMFhNMD0iLCJrc3AiOiJCZW9zaW44NzYifQ==
解码后数据为:
{"pk":"ce1df23a0ef1692f0e546b5e329693df126ec765d9bd3a5e24384c0e5e3ef5ff","ab":"XmV2NKvuJp3nDPMP1V5VoVqYxhNTKPMThn|0|","ks":"U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=","ksp":"Beosin876"}
本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:
U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=
MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中 “ks” 数据相同。
Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。
在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包是传输的数据一样。
攻击手法:
通过查看网页源码,generateKeystoreFile() 函数内容如下:
其中生成enryptedData时,需要传入key和钱包的密码,用于加密生成HDSeed文件。
解锁钱包的unlockKeystore()函数内容如下:
两个函数都调用了 CryptoJS.AES.decrypt()函数。
当输入解锁钱包密码后,网页向https://api.dashcoinanalytics.com/stats.php 传输数据,Initiator 是 CryptoJSlibByteArray.js:753,其内容如下:
通过查看网页源码发现网页中加载了引用自 greasyfork.org 的CryptoJSlibByteArray.js文件。
直接在浏览器中打开CryptoJSlibByteArray.js文件, 开头内容如下:
此文件中插入大量的空白,真实发送数据的代码从728行开始。内容如下:
通过设定循环执行函数,通过localStrage获取到相关的HDSeed内容和解锁密码。
在钱包实例化以后,直接在浏览器console中输入dashWallet可得以下内容:
从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。
存在的危害:
在线钱包,顾名思义,它是在联网状态下进行交易的钱包,一般又称“热钱包”。其种类多样,有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的,但由于其联网使用的模式,也增加了受到黑客攻击,被盗取密钥的风险。而一旦被黑客掌握密钥,就相当于获得了资产的直接掌控权。
此次事件中,用户正是使用在线钱包后,被攻击者通过某种攻击方式将恶意插件插入钱包中,从而获得钱包用户的密钥,直接利用密钥盗取用户资产的。
对用户的建议:
建议最近使用过此在线钱包的用户,通过其他方式生成新的钱包,并将财产转移至新钱包。同时,对于会经常使用到在线钱包的用户,我们建议在使用时,在不同平台设置不同的密码,并且开启二次认证。
另,建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。
欢迎大家体验:
一、智能合约自动形式化验证平台VaaS精简版,准确率达到95%以上
Beosin(成都链安科技)已向全球发布VaaS平台,全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台,准确率达到95%以上。
VaaS(精简版)系统为所有区块链从业者提供方便而免费的智能合约安全审计服务,对智能合约安全漏洞进行形式化验证,从容应对常规合约安全问题。欢迎大家登陆官方网址体验:
官方网址:
https://beosin.com/vaas/index.html#/audit/ptsj
▲VaaS 精简版平台
二、在线 Beosin-IDE 免费版本
Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境,可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。
欢迎大家免费体验:通过浏览器访问
https://beosin.com/BEOSIN-IDE/index.html#/
(如下图,推荐Chrome浏览器)。
▲Beosin EOS-IDE
Beosin官方发表正式声明:
为了全球化市场战略需要,公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司,“Beosin”力求为行业保驾护航,以打造区块链全生态安全为宗旨,竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全审计、DApp渗透测试、区块链平台安全检测、交易所安全服务、安全产品定制化服务、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图:
近期,有XX链安科技与成都链安科技重名,且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司,与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌,谨防上当受骗,一切消息以官网及官方公众号为准。
成都链安科技官方公众号名称:Beosin成都链安
成都链安科技官方网址:
www.lianantech.com
——Beosin
关于Beosin:
Beosin成都链安是一家专门从事区块链安全的公司,由从事航空、航天、军事安全领域10多年的,形式化验证技术专家电子科技大学杨霞、郭文生两位教授联合创立,团队核心员工由海外知名高校和实验室、具留学经历的教授、博士后、博士以及曾任职于阿里、华为等知名企业的精英组成。
是全球最早一批将形式化验证技术应用到区块链安全领域的团队,率先研发了国际领先、同时支持多个区块链平台(ETH,EOS,Fabric,蚂蚁BaaS、ONT、BCOS等)的智能合约自动形式化验证平台VaaS(准确率达到95%以上),并搭建了一站式区块链安全服务平台,建立了一整套“区块链安全开发—— 基于形式化验证的安全检测——运行时安全监控与防护”的完善安全防御体系,用户数已超过2万人,申请软件发明专利和著作权10多项,已审计智能合约近千份,审计链平台几十个,精通多个主流区块链平台。
目前成都链安已获得分布式资本、界石资本、盘古创富等著名投资机构的股权投资,与蚂蚁金服、普华永道、微众银行、ONT、NEO、Qtum、布比区块链、R3V等国内外60多家区块链企业,Huobi、OKEx、KuCoin、抹茶、链上等近百家数字货币交易所建立长期战略合作关系。
「Beosin」
作为Huobi、OKEx、KuCoin
CoinBene、CoinTiger等
著名交易所指定的合约审计公司。
入选Etherscan智能合约安全审计名单。
欢迎联系Beosin,了解智能合约安全审计
智能合约开发审计一条龙
钱包安全审计
DApp渗透测试
区块链平台安全检测
交易所安全服务
安全产品定制化服务
企业级安全服务
·
电话:028-83262585
网站:www.lianantech.com
邮箱:vaas@lianantech.com
地址:成都市世纪城南路599号
天府软件园D7座504室
官网:
https://www.lianantech.com
GitHub网址:
https://github.com/Lianantech/VCA
Facebook网址:
https://www.facebook.com/BeosinChengdu/
twitter网址:
https://twitter.com/Beosin_com
Telegram中文群:
https://t.me/LiananTech_cn
Telegram英文群:
https://t.me/LiananTech_en
微博:
https://weibo.com/u/6566884467
CSDN博客:
https://blog.csdn.net/CDLianan
知乎专栏: