DAS:这次又坑多少人？深度解析Dash钱包关键漏洞_Das Galaxy Talent Token

随着区块链市场商业模式的不断丰富，安全问题也不断暴露，其中钱包安全事件屡曝不止。

4月13日，Electrum钱包遭受黑客攻击，黑客利用其钱包漏洞，窃取用户密钥，导致资金被盗。

5月7日，黑客利用币安热钱包安全漏洞，访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息，从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道，有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事，成都链安技术团队做出详细分析：

Martin Leinweber：与2017年上一次熊市不同的是，这次熊市主流币遭到抛售:金色财经报道，VanEck指数制造商MarketVector的数字资产产品策略师 Martin Leinweber 表示，我认为，与 2017 年上一次熊市不同的是，主流币遭到抛售，这让投资者感到困惑，尤其是在机构方面。通常在抛售中，山寨币的表现比 BTC 和 ETH 差。这一次，随着市场崩盘，BTC 的主导地位正在下降，大多数山寨币已经贬值了 90%。[2022/6/21 4:41:33]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时，网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

美联储主席鲍威尔：这次削减资产负债表将会“更早更快”:1月12日消息，美联储主席鲍威尔：我们还没有就削减资产负债表做出任何决定，我们将比上次更早更快地缩减资产负债表。这次削减资产负债表将会“更早更快”。（金十）[2022/1/12 8:42:19]

https://api.dashcoinanalytics.com/stats.php

具体分析步骤如下：

在https://mydashwallet.org/上创建HDWallet以后，网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据，如图所示：

声音 | Ran NeuNer：这次牛市更多是因为基本面:加密货币分析师和CNBC主持人Ran NeuNer4分钟前发推表示：\"这次牛市虽然走的比较谨慎, 但比上一次更振奋人心。上次牛市是建立在炒作和不理性的基础上的，这次不是炒作, 更多的是因为基本面, 也就是更多区块链被现实应用和正在被应用的区块链的市值正在上升到所有区块链前列。\"[2019/4/23]

FormData：为Base64编码后的数据。具体如下：

解码后数据为：

本地下载MyDashWallet.HDSeed后，打开文件获取数据如下：

分析 | 虚拟货币这次崩盘像一场被人攻击的真正货币危机:据彭博消息，虚拟货币自今年初以来的表现并不仅仅像是泡沫破裂，看起来更像是一种受到攻击的货币。比特币没有央行来作为支撑，对比特币这种运动的一种宽容的解释：比特币将一个紧密联系的社区团结在一起，保护自己的投资。对冲基金GLG Partners前经理Raoul Pal表示，比特币在跌破6000美元之前的汇率挂钩走势。如果这种防御被打破，监管机构的调查又发现了价格操纵的证据，那么今年的抛售将不仅仅是周期性的熊市。[2018/11/28]

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地，如下所示，可通过js脚本直接获取到seed的值。

在解锁钱包时，网页会会直接以POST的方式传送a2c数据，数据跟上面创建钱包时传输的数据一样。

攻击手法：

通过查看网页源码，generateKeystoreFile()函数内容如下：

其中生成enryptedData时，需要传入key和钱包的密码，用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下：

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后，网页向https://api.dashcoinanalytics.com/stats.php传输数据，Initiator是CryptoJSlibByteArray.js:753，其内容如下：

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件，开头内容如下：

此文件中插入大量的空白，真实发送数据的代码从728行开始。内容如下：

通过设定循环执行函数，通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后，直接在浏览器console中输入dashWallet可得以下内容：

从上面的分析来看，攻击者通过某种方式在在线钱包中插入恶意插件，用户使用在线钱包时，加载了恶意插件，恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害：

在线钱包，顾名思义，它是在联网状态下进行交易的钱包，一般又称“热钱包””。其种类多样，有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的，但由于其联网使用的模式，也增加了受到黑客攻击，被盗取秘钥的风险。而一旦被黑客掌握秘钥，就相当于获得了资产的直接掌控权。

此次事件中，用户正是使用此在线钱包后，被攻击者通过某种攻击方式将恶意插件插入钱包中，从而获得钱包用户的密钥，直接利用密钥盗取用户资产的。

对用户的建议：

建议最近使用过此在线钱包的用户，通过其他方式生成新的钱包，并将财产转移至新钱包。

同时，对于会经常使用到在线钱包的用户，我们建议在使用时，在不同平台设置不同的密码，并且开启二次认证。另外，建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

标签：DASDASHASHSEEDDas Galaxy Talent TokenCDASH币bash币最新消息KSEED

fil币价格今日行情热门资讯