随着区块链市场商业模式的不断丰富,安全问题也不断暴露,其中钱包安全事件屡曝不止。
4月13日,Electrum钱包遭受黑客攻击,黑客利用其钱包漏洞,窃取用户密钥,导致资金被盗。
5月7日,黑客利用币安热钱包安全漏洞,访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息,从中盗取7000枚比特币。
而近日又有一起钱包被盗事件发生。据相关媒体报道,有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。
针对一事,成都链安技术团队做出详细分析:
Compound创始人:希望社区可以利用这次清算事件进一步强化协议:Compound创始人Robert Leshner在推特上表示,此前Coinbase Pro上的DAI价格迅速上升,导致从Compound借入的8520万美元DAI被清算。225793名用户中有124人受到影响,没有抵押不足的账户,所有市场都很健康。社区里有很多关于风险、清算和价格的讨论。一些人认为该协议执行得完美无缺,积极防范抵押不足的账户。另一些人则认为这是一个对借款者不利的体系,由于依赖于一个交易所而设计得很糟糕。Compound Dai达到16亿美元,超过全球所有交易所和二级交易场所上的DAI流动性。大规模清算的风险整个夏天都在积聚。希望社区可以利用这次清算事件作为进一步强化协议的催化剂,讨论激进或温和(如MakerDAO)清算系统间的权衡方案,并在必要时增加额外的保障措施。对于那些可能不了解风险、清算机制或市场混乱的尾部风险的用户我深表同情,并鼓励社区找到减轻这一事件对其影响的方法。[2020/11/27 22:18:09]
其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到
刘东风:这次疫情将促进传统出版单位对区块链等新技术的关注:陕西师范大学出版总社董事长兼社长刘东风发文指出,这次疫情对出版界的大考,可说是直接瞄准了读者的切身急需,促使各社集中推送全新的优质内容,提供公益服务、免费阅读等,在一定程度上影响了读者阅读和认识,带动着数字阅读市场和融媒服务环境的共建。这些都会促进传统出版单位更加关注和研究大数据、云计算、区块链、人工智能等新技术在出版领域应用的现实,关注5G背景下融媒开发新变化,拓展传统出版边界,加快推动数字出版融合转型发展。(中国新闻出版广电报)[2020/2/28]
https://api.dashcoinanalytics.com/stats.php
声音 | 摩根溪创始人:若比特币成功的概率为1%,Peter Schiff会错失这次机会:7月31日,黄金爱好者Peter Schiff与Morgan Creek Digital创始人Pompliano在CNBC Africa上就比特币进行了辩论。Schiff称,比特币已经成为一种宗教形式,投资者对显示视而不见,但当你处于泡沫重视,你无法看到泡沫。其一再声明比特币本身没有价值。对此,Pompliano回应称,这样的话,你可能会错过一些东西,比特币是一种新技术、新趋势。如果你犯错的可能性为1%,意味着你会因此受到互联网的谴责并错失这次机会。(cointelegraph)[2019/8/1]
具体分析步骤如下:
分析 | 虚拟货币这次崩盘像一场被人攻击的真正货币危机:据彭博消息,虚拟货币自今年初以来的表现并不仅仅像是泡沫破裂,看起来更像是一种受到攻击的货币。比特币没有央行来作为支撑,对比特币这种运动的一种宽容的解释:比特币将一个紧密联系的社区团结在一起,保护自己的投资。对冲基金GLG Partners前经理Raoul Pal表示,比特币在跌破6000美元之前的汇率挂钩走势。如果这种防御被打破,监管机构的调查又发现了价格操纵的证据,那么今年的抛售将不仅仅是周期性的熊市。[2018/11/28]
在https://mydashwallet.org/上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据,如图所示:
FormData:为Base64编码后的数据。具体如下:
解码后数据为:
本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:
MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。
Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。
在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包时传输的数据一样。
攻击手法:
通过查看网页源码,generateKeystoreFile()函数内容如下:
其中生成enryptedData时,需要传入key和钱包的密码,用于加密生成HDSeed文件。
解锁钱包的unlockKeystore()函数内容如下:
两个函数都调用了CryptoJS.AES.decrypt()函数。
当输入解锁钱包密码后,网页向https://api.dashcoinanalytics.com/stats.php传输数据,Initiator是CryptoJSlibByteArray.js:753,其内容如下:
通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。
直接在浏览器中打开CryptoJSlibByteArray.js文件,开头内容如下:
此文件中插入大量的空白,真实发送数据的代码从728行开始。内容如下:
通过设定循环执行函数,通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后,直接在浏览器console中输入dashWallet可得以下内容:
从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。
存在的危害:
在线钱包,顾名思义,它是在联网状态下进行交易的钱包,一般又称“热钱包””。其种类多样,有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的,但由于其联网使用的模式,也增加了受到黑客攻击,被盗取秘钥的风险。而一旦被黑客掌握秘钥,就相当于获得了资产的直接掌控权。
此次事件中,用户正是使用此在线钱包后,被攻击者通过某种攻击方式将恶意插件插入钱包中,从而获得钱包用户的密钥,直接利用密钥盗取用户资产的。
对用户的建议:
建议最近使用过此在线钱包的用户,通过其他方式生成新的钱包,并将财产转移至新钱包。
同时,对于会经常使用到在线钱包的用户,我们建议在使用时,在不同平台设置不同的密码,并且开启二次认证。另外,建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。