DAS:这次又坑多少人？深度解析Dash钱包关键漏洞

随着区块链市场商业模式的不断丰富，安全问题也不断暴露，其中钱包安全事件屡曝不止。

4月13日，Electrum钱包遭受黑客攻击，黑客利用其钱包漏洞，窃取用户密钥，导致资金被盗。

5月7日，黑客利用币安热钱包安全漏洞，访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息，从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道，有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事，成都链安技术团队做出详细分析：

巨鲸在这次上涨期间从Coinbase和Gemini购买了价值约7920万美元的ETH:金色财经报道，据 Lookonchain 监测发现，在这次 ETH 上涨期间，巨鲸从 Coinbase 和 Gemini 购买了总计 47,729 枚 ETH （价值约 7920 万美元）。在今天ETH价格下跌后，仍然购买了 6,108 枚 ETH（价值约 1010 万美元）。[2023/2/17 12:13:10]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时，网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

美联储主席鲍威尔：这次削减资产负债表将会“更早更快”:1月12日消息，美联储主席鲍威尔：我们还没有就削减资产负债表做出任何决定，我们将比上次更早更快地缩减资产负债表。这次削减资产负债表将会“更早更快”。（金十）[2022/1/12 8:42:19]

https://api.dashcoinanalytics.com/stats.php

具体分析步骤如下：

在https://mydashwallet.org/上创建HDWallet以后，网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据，如图所示：

刘东风：这次疫情将促进传统出版单位对区块链等新技术的关注:陕西师范大学出版总社董事长兼社长刘东风发文指出，这次疫情对出版界的大考，可说是直接瞄准了读者的切身急需，促使各社集中推送全新的优质内容，提供公益服务、免费阅读等，在一定程度上影响了读者阅读和认识，带动着数字阅读市场和融媒服务环境的共建。这些都会促进传统出版单位更加关注和研究大数据、云计算、区块链、人工智能等新技术在出版领域应用的现实，关注5G背景下融媒开发新变化，拓展传统出版边界，加快推动数字出版融合转型发展。（中国新闻出版广电报）[2020/2/28]

FormData：为Base64编码后的数据。具体如下：

分析 | BTC 3年前似曾相识的一段 这次能否王者归来？:分析师K神表示：BTC价格在今年初两次探底MA200周均线不破后，于4月初迎来了强涨行情，并接连突破MA50与MA100周均线压制，直至涨至19年目前顶点14000美元，随后价格再大幅下探至MA100周均线测试支撑，不破再度迎来周线级别的大幅反弹并冲至10000美元上方，然后回落至斐波那锲0.5点位支撑8500美元附近，这一波整体走势与比特币2016年初走势很相似，前面周线也是在突破周线MA100后进行了回踩确认，不破后出现了超跌反弹走势，接着进入了小区间震荡调整走势，最后在MA50上穿MA100均线形成金叉的位置，开启了减半前的快速拉升行情。目前盘面来看，MA50周均线抬头上行，MA100均线拐头向下，两线形成金叉还需要一段时间，表明价格有止跌企稳的趋势，接下来BTC处于区间宽幅震荡的可能性更高，上方周线压力斐波那锲0.382点位9750美元，通过反复震荡洗盘筹码充分换手后，大概率将再度迎来主升浪。[2019/11/15]

解码后数据为：

本地下载MyDashWallet.HDSeed后，打开文件获取数据如下：

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地，如下所示，可通过js脚本直接获取到seed的值。

在解锁钱包时，网页会会直接以POST的方式传送a2c数据，数据跟上面创建钱包时传输的数据一样。

攻击手法：

通过查看网页源码，generateKeystoreFile()函数内容如下：

其中生成enryptedData时，需要传入key和钱包的密码，用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下：

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后，网页向https://api.dashcoinanalytics.com/stats.php传输数据，Initiator是CryptoJSlibByteArray.js:753，其内容如下：

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件，开头内容如下：

此文件中插入大量的空白，真实发送数据的代码从728行开始。内容如下：

通过设定循环执行函数，通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后，直接在浏览器console中输入dashWallet可得以下内容：

从上面的分析来看，攻击者通过某种方式在在线钱包中插入恶意插件，用户使用在线钱包时，加载了恶意插件，恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害：

在线钱包，顾名思义，它是在联网状态下进行交易的钱包，一般又称“热钱包””。其种类多样，有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的，但由于其联网使用的模式，也增加了受到黑客攻击，被盗取秘钥的风险。而一旦被黑客掌握秘钥，就相当于获得了资产的直接掌控权。

此次事件中，用户正是使用此在线钱包后，被攻击者通过某种攻击方式将恶意插件插入钱包中，从而获得钱包用户的密钥，直接利用密钥盗取用户资产的。

对用户的建议：

建议最近使用过此在线钱包的用户，通过其他方式生成新的钱包，并将财产转移至新钱包。

同时，对于会经常使用到在线钱包的用户，我们建议在使用时，在不同平台设置不同的密码，并且开启二次认证。另外，建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

标签：DASDASHASHSEEDDASC币DASHD价格CDASHZSEED

BNB热门资讯