安全预警:My Dash Wallet在线钱包存在“关键”漏洞 用户资金面临风险

安全预警:My Dash Wallet在线钱包存在“关键”漏洞 用户资金面临风险

成都链安科技 发布在 链圈子 海盗号 34795

针对近期网友爆料My Dash Wallet钱包存在安全漏洞、导致用户资金损失一事,成都链安技术团队做出详细分析:

其主要原因在于在线钱包 https://mydashwallet.org 用户在创建HD钱包和解锁HD钱包时,网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到 https://api.dashcoinanalytics.com/stats.php 中。

 

具体分析步骤如下:

https://mydashwallet.org/ 上创建HDWallet以后,网页会直接向https://api.dashcoinanalytics.com/stats.php 以POST的方式传送数据,如图所示:

Form Data:为Base64编码后的数据。具体如下:

 

a2c:

eyJwayI6ImNlMWRmMjNhMGVmMTY5MmYwZTU0NmI1ZTMyOTY5M2RmMTI2ZWM3NjVkOWJkM2E1ZTI0Mzg0YzBlNWUzZWY1ZmYiLCJhYiI6IlhtVjJOS3Z1SnAzbkRQTVAxVjVWb1ZxWXhoTlRLUE1UaG58MHwiLCJrcyI6IlUyRnNkR1ZrWDE4cm55Vko3MzBpaEJRckNYWFBKWWdmdHN2TmFXUmhHMkNhWE5ZZDlYNXR1TmNvVGZyZ0hsVHJzRjNWSTIrR2hSYkRkNVlydFF6dVAxR3RjUlhuaDRWRXVkdFZ3Si9LbUdKbG4wQllBMElKNmtOUlIwMnd0MHNicmZ4QlFyclBRWmIvK1VMK2lEWERlVktCRXBWbGt4elRFUzdGcVJYMFhNMD0iLCJrc3AiOiJCZW9zaW44NzYifQ==

 

解码后数据为:

{"pk":"ce1df23a0ef1692f0e546b5e329693df126ec765d9bd3a5e24384c0e5e3ef5ff","ab":"XmV2NKvuJp3nDPMP1V5VoVqYxhNTKPMThn|0|","ks":"U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=","ksp":"Beosin876"}

 

本地下载MyDashWallet.HDSeed后,打开文件获取数据如下:

U2FsdGVkX18rnyVJ730ihBQrCXXPJYgftsvNaWRhG2CaXNYd9X5tuNcoTfrgHlTrsF3VI2+GhRbDd5YrtQzuP1GtcRXnh4VEudtVwJ/KmGJln0BYA0IJ6kNRR02wt0sbrfxBQrrPQZb/+UL+iDXDeVKBEpVlkxzTES7FqRX0XM0=

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中 “ks” 数据相同。

Seed文件存储在本地,如下所示,可通过js脚本直接获取到seed的值。

在解锁钱包时,网页会会直接以POST的方式传送a2c数据,数据跟上面创建钱包是传输的数据一样。

攻击手法:

从上面的分析来看,攻击者通过某种方式在在线钱包中插入恶意插件,用户使用在线钱包时,加载了恶意插件,恶意插件获取到seed的值和解锁的密码。从而获取到钱包的控制权。

 

存在的危害:

将直接造成用户的财产损失。

 

用户的建议:

如果用户最近使用过在线钱包,建议通过其他方式生成新的钱包,并将财产转移至新钱包。

文章标签: 安全漏洞
评论
登录 账号发表你的看法,还没有账号?立即免费 注册