隨著區塊鏈市場商業模式的不斷豐富,安全問題也不斷暴露,其中錢包安全事件屢曝不止。
4月13日,Electrum錢包遭受黑客攻擊,黑客利用其錢包漏洞,竊取用戶密鑰,導致資金被盜。
5月7日,黑客利用幣安熱錢包安全漏洞,訪問大量用戶應用程序接口密鑰、雙因素身份驗證碼、以及其他信息,從中盜取7000枚比特幣。
而近日又有一起錢包被盜事件發生。據相關媒體報道,有網友爆料MyDashWallet錢包存在安全漏洞、導致用戶錢包內資金被盜取。
針對一事,成都鏈安技術團隊做出詳細分析:
李啟元:BTC終于反彈了 希望這次是真的:前比特幣中國CEO李啟元(Bobby Lee)發推稱,比特幣終于開始反彈了,希望這次是真的。[2020/7/27]
其主要原因在于在線錢包用戶在創建HD錢包和解鎖HD錢包時,網頁插件會將用戶的keystore加密數據以及解密密碼以post的方式發送到
https://api.dashcoinanalytics.com/stats.php
具體分析步驟如下:
在https://mydashwallet.org/上創建HDWallet以后,網頁會直接向https://api.dashcoinanalytics.com/stats.php以POST的方式傳送數據,如圖所示:
分析 | 19年初3000-4000區間筑底似曾相識的一段 這次BTC能否王者歸來?:分析師K神表示:下面為BTC18年末與19年初3000-4000美金區間震蕩筑底走勢,與目前BTC從7300拉高至10350在持續回落至當前8100走勢對比圖,從盤面走勢能看出兩者有其相似之處,兩者前期都是先拉高至高位箱體區間盤整,接著出現破位開始震蕩回落,后面再出現快速上拉又快速回落的上下插針走勢,清洗市場合約多空單后,再回落至目前相對底部區域震蕩,這與19年初筑底走勢很相似,前期BTC位于3300-3500區間反復洗盤籌碼換手充分后,開始逐步拉升并一路震蕩上行至頂點14000美金,成就了19年上半年的小牛行情,歷史當然不會簡單重復,可以利用數據推測未來大概走勢,當前BTC持續位于8000一線弱勢整理,有可能也是主力慣用的洗盤手法,后面將會通過區間寬幅震蕩的方式逐步消磨持幣者的耐心,構筑牢固上漲中繼底部結構后,并在明年減半預期的刺激下,有望再度迎來主升浪。[2019/11/21]
FormData:為Base64編碼后的數據。具體如下:
聲音 | 摩根溪創始人:若比特幣成功的概率為1%,Peter Schiff會錯失這次機會:7月31日,黃金愛好者Peter Schiff與Morgan Creek Digital創始人Pompliano在CNBC Africa上就比特幣進行了辯論。Schiff稱,比特幣已經成為一種宗教形式,投資者對顯示視而不見,但當你處于泡沫重視,你無法看到泡沫。其一再聲明比特幣本身沒有價值。對此,Pompliano回應稱,這樣的話,你可能會錯過一些東西,比特幣是一種新技術、新趨勢。如果你犯錯的可能性為1%,意味著你會因此受到互聯網的譴責并錯失這次機會。(cointelegraph)[2019/8/1]
解碼后數據為:
CoinDesk發表2018年區塊鏈產業報告:這次的泡沫與以往不同:2017 年比特幣以1278%的瘋狂漲幅閉幕。隨之而來的卻是一個大家都在問的問題:“這款最大的加密貨幣是否是個泡沫?”CoinDesk 的讀者對此問題的答案十分分裂:49% 回答“是”,39% 回答“否”,11% 回答“中立”。但在分裂的意見背后,卻是大量可以用來分析關于“泡沫論”的數據。在 3000 多名回答者中,只有 19% 為了購買加密貨幣而負債。而在這 19% 中間,已有超過一半把負債全部還清了。這一點很重要,因為如果比特幣確實是泡沫,它是一個很罕見的沒有被杠桿或借來的錢吹大的泡沫。[2018/2/11]
本地下載MyDashWallet.HDSeed后,打開文件獲取數據如下:
MyDashWallet.HDSeed中的加密的數據與上傳的a2c數據中“ks”數據相同。
Seed文件存儲在本地,如下所示,可通過js腳本直接獲取到seed的值。
在解鎖錢包時,網頁會會直接以POST的方式傳送a2c數據,數據跟上面創建錢包時傳輸的數據一樣。
攻擊手法:
通過查看網頁源碼,generateKeystoreFile()函數內容如下:
其中生成enryptedData時,需要傳入key和錢包的密碼,用于加密生成HDSeed文件。
解鎖錢包的unlockKeystore()函數內容如下:
兩個函數都調用了CryptoJS.AES.decrypt()函數。
當輸入解鎖錢包密碼后,網頁向https://api.dashcoinanalytics.com/stats.php傳輸數據,Initiator是CryptoJSlibByteArray.js:753,其內容如下:
通過查看網頁源碼發現網頁中加載了引用自greasyfork.org的CryptoJSlibByteArray.js文件。
直接在瀏覽器中打開CryptoJSlibByteArray.js文件,開頭內容如下:
此文件中插入大量的空白,真實發送數據的代碼從728行開始。內容如下:
通過設定循環執行函數,通過localStrage獲取到相關的HDSeed內容和解鎖密碼。在錢包實例化以后,直接在瀏覽器console中輸入dashWallet可得以下內容:
從上面的分析來看,攻擊者通過某種方式在在線錢包中插入惡意插件,用戶使用在線錢包時,加載了惡意插件,惡意插件設置循環執行函數獲取到seed的值和解鎖的密碼。從而獲取到錢包的控制權。
存在的危害:
在線錢包,顧名思義,它是在聯網狀態下進行交易的錢包,一般又稱“熱錢包””。其種類多樣,有電腦客戶端錢包、手機APP錢包、網頁錢包等。熱錢包對于交易頻繁的用戶來說是非常便捷的,但由于其聯網使用的模式,也增加了受到黑客攻擊,被盜取秘鑰的風險。而一旦被黑客掌握秘鑰,就相當于獲得了資產的直接掌控權。
此次事件中,用戶正是使用此在線錢包后,被攻擊者通過某種攻擊方式將惡意插件插入錢包中,從而獲得錢包用戶的密鑰,直接利用密鑰盜取用戶資產的。
對用戶的建議:
建議最近使用過此在線錢包的用戶,通過其他方式生成新的錢包,并將財產轉移至新錢包。
同時,對于會經常使用到在線錢包的用戶,我們建議在使用時,在不同平臺設置不同的密碼,并且開啟二次認證。另外,建議資產占有量較大的個人投資者最好將冷錢包與熱錢包配合使用,根據具體使用需求分配使用冷熱錢包,做到冷熱分開,以便隔離風險。
文章來源:信息時報原文標題:《一秒開票,廣州已開出區塊鏈發票超3萬張》“現在開票無需排隊,手寫抬頭也不用擔心發票保存問題,全部線上搞定,可以說是非常放便了.
1900/1/1 0:00:00近年來地圖信息安全,成為人們日益關注的話題。2018年7月份,上海市消保委對使用率較高的百度地圖、高德地圖、騰訊地圖、搜狗地圖、圖吧導航等5款熱門地圖類APP涉及個人信息權限狀況進行評測發現:1.
1900/1/1 0:00:00區塊鏈將全世界都記錄在了同一個賬本上。每挖出一個新的區塊,這個賬本就會生成一個新的狀態來代替之前的狀態。共識機制旨在確保這個狀態得到了社區中大多數人的認可.
1900/1/1 0:00:00截至07月12日10時,8BTCCI指數報16,644.81點,遠高于納斯達克綜合指數,自發布日起全球Token市場表現好于證券市場表現.
1900/1/1 0:00:00尊敬的用戶: CEO全球站即將開啟V13的充值、提現業務,并同時在幣幣交易創新區開啟V13/QC、V13/USDT交易對.
1900/1/1 0:00:00文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00