My Dash Wallet在线钱包存在“关键”漏洞
成都链安科技
2019-07-11 18:13

针对近期网友爆料My Dash Wallet钱包存在安全漏洞、导致用户资金损失一事,成都链安技术团队做出详细分析:

其主要原因在于在线钱包 https://mydashwallet.org 用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到 https://api.dashcoinanalytics.com/stats.php 中。

具体分析步骤如下:

在https://mydashwallet.org/ 上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php 以POST的方式传送数据,如图所示:

Form Data:为Base64编码后的数据。具体如下:

a2c:

eyJwayI6ImNlMWRmMjNhMGVmMTY5MmYwZTU0NmI1ZTMyOTY5M2RmMTI2ZWM3NjVkOWJkM2E1ZTI0Mzg0YzBlNWUzZWY1ZmYiLCJhYiI6IlhtVjJOS3Z1SnAzbkRQTVAxVjVWb1ZxWXhoTlRLUE1UaG58MHwiLCJrcyI6IlUyRnNkR1ZrWDE4cm55Vko3MzBpaEJRckNYWFBKWWdmdHN2TmFXUmhHMkNhWE5ZZDlYNXR1TmNvVGZyZ0hsVHJzRjNWSTIrR2hSYkRkNVlydFF6dVAxR3RjUlhuaDRWRXVkdFZ3Si9LbUdKbG4wQllBMElKNmtOUlIwMnd0MHNicmZ4QlFyclBRWmIvK1VMK2lEWERlVktCRXBWbGt4elRFUzdGcVJYMFhNMD0iLCJrc3AiOiJCZW9zaW44NzYifQ==

解码后数据为:

{"pk":"ce1df23a0ef1692f0e546b5e329693df126ec765d9bd3a5e24384c0e5e3ef5ff","ab":"XmV2NKvuJp3nDPMP1V5VoVqYxhNTKPMThn|0|","ks":"U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=","ksp":"Beosin876"}

本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:

U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中 “ks” 数据相同。

Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。

在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包是传输的数据一样。

攻击者手法:

从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害:

将直接造成用户的财产损失。

对用户的建议:

如果用户最近使用过在线钱包,建议通过其他方式生成新的钱包,并将财产转移至新钱包。

打开APP阅读全文
本文来源:
声明:核财经原创稿件,版权属核财经所有,未经授权不得转载,已经协议授权的媒体下载时须注明“稿件来源:核财经”,违者将依法追究责任。
相关推荐
买币之前 VS 买币之后
2019-07-16 16:46·区块浪潮
打开APP阅读
人民网:Libra带动币圈“躁动” 需谨防概念偷换
2019-07-16 15:33·维基链WICC
打开APP阅读
成都链安: 揭秘安全事件后的“黑客攻击手法”
2019-07-16 15:23·成都链安科技
打开APP阅读