DASH:這次又坑多少人？深度解析Dash錢包關鍵漏洞_DAS

隨著區塊鏈市場商業模式的不斷豐富，安全問題也不斷暴露，其中錢包安全事件屢曝不止。

4月13日，Electrum錢包遭受黑客攻擊，黑客利用其錢包漏洞，竊取用戶密鑰，導致資金被盜。

5月7日，黑客利用幣安熱錢包安全漏洞，訪問大量用戶應用程序接口密鑰、雙因素身份驗證碼、以及其他信息，從中盜取7000枚比特幣。

而近日又有一起錢包被盜事件發生。據相關媒體報道，有網友爆料MyDashWallet錢包存在安全漏洞、導致用戶錢包內資金被盜取。

針對一事，成都鏈安技術團隊做出詳細分析：

Compound創始人：希望社區可以利用這次清算事件進一步強化協議:Compound創始人Robert Leshner在推特上表示，此前Coinbase Pro上的DAI價格迅速上升，導致從Compound借入的8520萬美元DAI被清算。225793名用戶中有124人受到影響，沒有抵押不足的賬戶，所有市場都很健康。社區里有很多關于風險、清算和價格的討論。一些人認為該協議執行得完美無缺，積極防范抵押不足的賬戶。另一些人則認為這是一個對借款者不利的體系，由于依賴于一個交易所而設計得很糟糕。Compound Dai達到16億美元，超過全球所有交易所和二級交易場所上的DAI流動性。大規模清算的風險整個夏天都在積聚。希望社區可以利用這次清算事件作為進一步強化協議的催化劑，討論激進或溫和（如MakerDAO）清算系統間的權衡方案，并在必要時增加額外的保障措施。對于那些可能不了解風險、清算機制或市場混亂的尾部風險的用戶我深表同情，并鼓勵社區找到減輕這一事件對其影響的方法。[2020/11/27 22:18:09]

其主要原因在于在線錢包用戶在創建HD錢包和解鎖HD錢包時，網頁插件會將用戶的keystore加密數據以及解密密碼以post的方式發送到

聲音 | 火幣七爺：火幣受到AWS這次事故影響 正在協調恢復:TP-LINK安防服務發布公告稱，由于云服務專用光纖線路被外界不當施工挖斷，導致其部分地區相關云服務受到較大影響。火幣全球站CEO七爺針對此事在朋友圈表示：AWS這次事故影響了一大批企業，火幣也在其中，正協調對方盡快恢復[2019/6/2]

https://api.dashcoinanalytics.com/stats.php

具體分析步驟如下：

在https://mydashwallet.org/上創建HDWallet以后，網頁會直接向https://api.dashcoinanalytics.com/stats.php以POST的方式傳送數據，如圖所示：

巴克萊分析師：比特幣泡沫正在爆發 這次不會看到熊市后的復蘇:據ccn報道，由Joseph Abate領導的一組巴克萊分析師周二在寫給客戶的消息中寫道，比特幣和其他所謂的資產泡沫和傳染病的蔓延形成了類似的過程。即由于加密貨幣投資者對“感染”產生了免疫力，比特幣價格泡沫將會破裂。巴克萊表示，隨著越來越多的人成為資產持有者，可能成為新買家的潛在人口比例下降，而潛在賣家（復蘇）人口比例上升。最終，這會導致價格持續上漲。隨著價格沖擊拉高賣家與買家比例，價格開始下跌。這會引發投機性拋售壓力，因為價格下跌預計呈指數增長。分析師聲稱比特幣價格從12月份的高點下跌了65％，不太可能看到它在之前的熊市之后經歷的那種復蘇。分析師總結說：“我們認為加密貨幣投資的投機泡沫階段也許可能正是高峰期，也許可能已經過去了。”[2018/4/11]

FormData：為Base64編碼后的數據。具體如下：

比特幣新一波分叉又要到來 這次分叉幣為bitcoin god（比特上帝）:據報道，比特幣又將迎來新的分叉，在12月25日也就是圣誕節當天，分叉的比特幣名字為bitcoin god（比特上帝），簡稱GOD.總量2100萬枚，與比特幣的總量一致，據官方解釋稱，本次分叉沒有預挖，所有2100萬枚比特上帝會直接分發給用戶。[2017/11/30]

解碼后數據為：

本地下載MyDashWallet.HDSeed后，打開文件獲取數據如下：

MyDashWallet.HDSeed中的加密的數據與上傳的a2c數據中“ks”數據相同。

Seed文件存儲在本地，如下所示，可通過js腳本直接獲取到seed的值。

在解鎖錢包時，網頁會會直接以POST的方式傳送a2c數據，數據跟上面創建錢包時傳輸的數據一樣。

攻擊手法：

通過查看網頁源碼，generateKeystoreFile()函數內容如下：

其中生成enryptedData時，需要傳入key和錢包的密碼，用于加密生成HDSeed文件。

解鎖錢包的unlockKeystore()函數內容如下：

兩個函數都調用了CryptoJS.AES.decrypt()函數。

當輸入解鎖錢包密碼后，網頁向https://api.dashcoinanalytics.com/stats.php傳輸數據，Initiator是CryptoJSlibByteArray.js:753，其內容如下：

通過查看網頁源碼發現網頁中加載了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在瀏覽器中打開CryptoJSlibByteArray.js文件，開頭內容如下：

此文件中插入大量的空白，真實發送數據的代碼從728行開始。內容如下：

通過設定循環執行函數，通過localStrage獲取到相關的HDSeed內容和解鎖密碼。在錢包實例化以后，直接在瀏覽器console中輸入dashWallet可得以下內容：

從上面的分析來看，攻擊者通過某種方式在在線錢包中插入惡意插件，用戶使用在線錢包時，加載了惡意插件，惡意插件設置循環執行函數獲取到seed的值和解鎖的密碼。從而獲取到錢包的控制權。

存在的危害：

在線錢包，顧名思義，它是在聯網狀態下進行交易的錢包，一般又稱“熱錢包””。其種類多樣，有電腦客戶端錢包、手機APP錢包、網頁錢包等。熱錢包對于交易頻繁的用戶來說是非常便捷的，但由于其聯網使用的模式，也增加了受到黑客攻擊，被盜取秘鑰的風險。而一旦被黑客掌握秘鑰，就相當于獲得了資產的直接掌控權。

此次事件中，用戶正是使用此在線錢包后，被攻擊者通過某種攻擊方式將惡意插件插入錢包中，從而獲得錢包用戶的密鑰，直接利用密鑰盜取用戶資產的。

對用戶的建議：

建議最近使用過此在線錢包的用戶，通過其他方式生成新的錢包，并將財產轉移至新錢包。

同時，對于會經常使用到在線錢包的用戶，我們建議在使用時，在不同平臺設置不同的密碼，并且開啟二次認證。另外，建議資產占有量較大的個人投資者最好將冷錢包與熱錢包配合使用，根據具體使用需求分配使用冷熱錢包，做到冷熱分開，以便隔離風險。

Tags：比特幣DASHASHDAS比特幣發行量多少DASHIDASH達世幣最新消息Dash Green

MANA