這次又坑多少人？深度解析Dash錢包關鍵漏洞_比特幣:DASH

隨著區塊鏈市場商業模式的不斷豐富，安全問題也不斷暴露，其中錢包安全事件屢曝不止。

4月13日，Electrum錢包遭受黑客攻擊，黑客利用其錢包漏洞，竊取用戶密鑰，導致資金被盜。

5月7日，黑客利用幣安熱錢包安全漏洞，訪問大量用戶應用程序接口密鑰、雙因素身份驗證碼、以及其他信息，從中盜取7000枚比特幣。

而近日又有一起錢包被盜事件發生。據相關媒體報道，有網友爆料MyDashWallet錢包存在安全漏洞、導致用戶錢包內資金被盜取。

針對一事，成都鏈安技術團隊做出詳細分析：

聲音 | 趙東：BTC這次大漲 尚未看到資金大幅流入:據火星財經消息，DGroup創始人趙東表示：BTC這一波大漲，從交易上看，尚未看到資金大幅流入，但是繼續走高。而之前從4000到8000的反彈是有跡象的：Tether持續增發10億美元就是資金流入跡象。而從8000美元繼續走高開始，還沒有明顯跡象出現。[2019/5/27]

其主要原因在于在線錢包用戶在創建HD錢包和解鎖HD錢包時，網頁插件會將用戶的keystore加密數據以及解密密碼以post的方式發送到

https://api.dashcoinanalytics.com/stats.php

聲音 | 肖磊：這次推動比特幣價格暴漲的，是那幫富人:財經專欄作家肖磊發文表示，在主流資產里面，年初至今表現最好的資產是原油，目前的漲幅超過40%，但跟比特幣這個異類相比，似乎還是遜色了很多，比特幣目前的價格，比年初價格高出95%。他認為，如果硬要給比特幣價格的上漲尋找原因，可以列出無數個理由，但大部分投資者，或者說站在這個市場之外去看，應該來說普遍的解釋可能是投機情緒的上升。肖磊指出，比特幣誕生的邏輯，跟期貨、保險等類似，它增加了一種選擇，用來應對未來的某些不確定性。首先是信用貨幣的不確定性，其次是金融服務機構的不確定性，第三個是國家壁壘的不確定性。他表示，比特幣作為一種社會資源，它的流向，注定是從中產階級手里，流向超級富豪手里。這個是符合科斯產權理論的，最終來看，誰能用好它，或者說，它在誰的手里，發揮的價值最高，它就是誰的。肖磊最后表示，這一輪比特幣價格的上漲，不是極客們的烏托邦暢想，也不是草根散戶的暴富美夢，而是國際諸多的富人俱樂部，開始向超級富豪們提供比特幣服務。[2019/5/13]

具體分析步驟如下：

聲音 | Ran NeuNer：這次牛市更多是因為基本面:加密貨幣分析師和CNBC主持人Ran NeuNer4分鐘前發推表示：\"這次牛市雖然走的比較謹慎, 但比上一次更振奮人心。上次牛市是建立在炒作和不理性的基礎上的，這次不是炒作, 更多的是因為基本面, 也就是更多區塊鏈被現實應用和正在被應用的區塊鏈的市值正在上升到所有區塊鏈前列。\"[2019/4/23]

在https://mydashwallet.org/上創建HDWallet以后，網頁會直接向https://api.dashcoinanalytics.com/stats.php以POST的方式傳送數據，如圖所示：

聲音 | 李大霄：這次資金性質手法兇悍是不是郵圈和幣圈里的人物也殺進股市了:英大證券首席經濟學家李大霄發微博稱：“今天龍頭券商破天荒地發布個股看空報告，造成自2440點以來首次出現2%以上的下跌，但通常第一次下跌并不會扼殺牛市，大量的踏空資金在虎視眈眈，一點微小的下跌后就會蜂擁而至，只不過可能要改變一下打法了。這次資金性質手法兇悍，是不是郵圈和幣圈里的人物也殺進股市了？”[2019/3/8]

FormData：為Base64編碼后的數據。具體如下：

解碼后數據為：

本地下載MyDashWallet.HDSeed后，打開文件獲取數據如下：

MyDashWallet.HDSeed中的加密的數據與上傳的a2c數據中“ks”數據相同。

Seed文件存儲在本地，如下所示，可通過js腳本直接獲取到seed的值。

在解鎖錢包時，網頁會會直接以POST的方式傳送a2c數據，數據跟上面創建錢包時傳輸的數據一樣。

攻擊手法：

通過查看網頁源碼，generateKeystoreFile()函數內容如下：

其中生成enryptedData時，需要傳入key和錢包的密碼，用于加密生成HDSeed文件。

解鎖錢包的unlockKeystore()函數內容如下：

兩個函數都調用了CryptoJS.AES.decrypt()函數。

當輸入解鎖錢包密碼后，網頁向https://api.dashcoinanalytics.com/stats.php傳輸數據，Initiator是CryptoJSlibByteArray.js:753，其內容如下：

通過查看網頁源碼發現網頁中加載了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在瀏覽器中打開CryptoJSlibByteArray.js文件，開頭內容如下：

此文件中插入大量的空白，真實發送數據的代碼從728行開始。內容如下：

通過設定循環執行函數，通過localStrage獲取到相關的HDSeed內容和解鎖密碼。在錢包實例化以后，直接在瀏覽器console中輸入dashWallet可得以下內容：

從上面的分析來看，攻擊者通過某種方式在在線錢包中插入惡意插件，用戶使用在線錢包時，加載了惡意插件，惡意插件設置循環執行函數獲取到seed的值和解鎖的密碼。從而獲取到錢包的控制權。

存在的危害：

在線錢包，顧名思義，它是在聯網狀態下進行交易的錢包，一般又稱“熱錢包””。其種類多樣，有電腦客戶端錢包、手機APP錢包、網頁錢包等。熱錢包對于交易頻繁的用戶來說是非常便捷的，但由于其聯網使用的模式，也增加了受到黑客攻擊，被盜取秘鑰的風險。而一旦被黑客掌握秘鑰，就相當于獲得了資產的直接掌控權。

此次事件中，用戶正是使用此在線錢包后，被攻擊者通過某種攻擊方式將惡意插件插入錢包中，從而獲得錢包用戶的密鑰，直接利用密鑰盜取用戶資產的。

對用戶的建議：

建議最近使用過此在線錢包的用戶，通過其他方式生成新的錢包，并將財產轉移至新錢包。

同時，對于會經常使用到在線錢包的用戶，我們建議在使用時，在不同平臺設置不同的密碼，并且開啟二次認證。另外，建議資產占有量較大的個人投資者最好將冷錢包與熱錢包配合使用，根據具體使用需求分配使用冷熱錢包，做到冷熱分開，以便隔離風險。

Tags：比特幣DASHASHDAS超級比特幣最新消息CDASHswash幣行情DASHI

幣安幣