DAS:这次又坑多少人？深度解析Dash钱包关键漏洞_dash币为何一蹶不振

随着区块链市场商业模式的不断丰富，安全问题也不断暴露，其中钱包安全事件屡曝不止。

4月13日，Electrum钱包遭受黑客攻击，黑客利用其钱包漏洞，窃取用户密钥，导致资金被盗。

5月7日，黑客利用币安热钱包安全漏洞，访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息，从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道，有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事，成都链安技术团队做出详细分析：

分析 | BTC 3年前似曾相识的一段 这次能否王者归来？:分析师K神表示：BTC价格在今年初两次探底MA200周均线不破后，于4月初迎来了强涨行情，并接连突破MA50与MA100周均线压制，直至涨至19年目前顶点14000美元，随后价格再大幅下探至MA100周均线测试支撑，不破再度迎来周线级别的大幅反弹并冲至10000美元上方，然后回落至斐波那锲0.5点位支撑8500美元附近，这一波整体走势与比特币2016年初走势很相似，前面周线也是在突破周线MA100后进行了回踩确认，不破后出现了超跌反弹走势，接着进入了小区间震荡调整走势，最后在MA50上穿MA100均线形成金叉的位置，开启了减半前的快速拉升行情。目前盘面来看，MA50周均线抬头上行，MA100均线拐头向下，两线形成金叉还需要一段时间，表明价格有止跌企稳的趋势，接下来BTC处于区间宽幅震荡的可能性更高，上方周线压力斐波那锲0.382点位9750美元，通过反复震荡洗盘筹码充分换手后，大概率将再度迎来主升浪。[2019/11/15]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时，网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

声音 | 摩根溪创始人：若比特币成功的概率为1%，Peter Schiff会错失这次机会:7月31日，黄金爱好者Peter Schiff与Morgan Creek Digital创始人Pompliano在CNBC Africa上就比特币进行了辩论。Schiff称，比特币已经成为一种宗教形式，投资者对显示视而不见，但当你处于泡沫重视，你无法看到泡沫。其一再声明比特币本身没有价值。对此，Pompliano回应称，这样的话，你可能会错过一些东西，比特币是一种新技术、新趋势。如果你犯错的可能性为1%，意味着你会因此受到互联网的谴责并错失这次机会。（cointelegraph）[2019/8/1]

https://api.dashcoinanalytics.com/stats.php

巴克莱分析师：比特币泡沫正在爆发 这次不会看到熊市后的复苏:据ccn报道，由Joseph Abate领导的一组巴克莱分析师周二在写给客户的消息中写道，比特币和其他所谓的资产泡沫和传染病的蔓延形成了类似的过程。即由于加密货币投资者对“感染”产生了免疫力，比特币价格泡沫将会破裂。巴克莱表示，随着越来越多的人成为资产持有者，可能成为新买家的潜在人口比例下降，而潜在卖家（复苏）人口比例上升。最终，这会导致价格持续上涨。随着价格冲击拉高卖家与买家比例，价格开始下跌。这会引发投机性抛售压力，因为价格下跌预计呈指数增长。分析师声称比特币价格从12月份的高点下跌了65％，不太可能看到它在之前的熊市之后经历的那种复苏。分析师总结说：“我们认为加密货币投资的投机泡沫阶段也许可能正是高峰期，也许可能已经过去了。”[2018/4/11]

具体分析步骤如下：

杀软件McAfee的创始人：这次加密货币下跌都是摩根大通全球市场策略师搞的鬼:了解John McAfee的人都知道，此人不仅是网络安全领域的传奇人物——著名杀软件McAfee的创始人，他还是一位坚定的比特币信仰者。对于近日比特币的大跌，McAfee在推特上表示：“放松各位！这次加密货币下跌都是摩根大通的Mike Bell（摩根大通全球市场策略师）搞的鬼，他声称政府会禁止加密货币。好吧…怎么做？摩根大通这家公司就是声称比特币是欺诈的那家公司。他们非常害怕我们正在做的事情。但是他们无法阻止我们。”[2018/1/18]

在https://mydashwallet.org/上创建HDWallet以后，网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据，如图所示：

FormData：为Base64编码后的数据。具体如下：

解码后数据为：

本地下载MyDashWallet.HDSeed后，打开文件获取数据如下：

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地，如下所示，可通过js脚本直接获取到seed的值。

在解锁钱包时，网页会会直接以POST的方式传送a2c数据，数据跟上面创建钱包时传输的数据一样。

攻击手法：

通过查看网页源码，generateKeystoreFile()函数内容如下：

其中生成enryptedData时，需要传入key和钱包的密码，用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下：

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后，网页向https://api.dashcoinanalytics.com/stats.php传输数据，Initiator是CryptoJSlibByteArray.js:753，其内容如下：

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件，开头内容如下：

此文件中插入大量的空白，真实发送数据的代码从728行开始。内容如下：

通过设定循环执行函数，通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后，直接在浏览器console中输入dashWallet可得以下内容：

从上面的分析来看，攻击者通过某种方式在在线钱包中插入恶意插件，用户使用在线钱包时，加载了恶意插件，恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害：

在线钱包，顾名思义，它是在联网状态下进行交易的钱包，一般又称“热钱包””。其种类多样，有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的，但由于其联网使用的模式，也增加了受到黑客攻击，被盗取秘钥的风险。而一旦被黑客掌握秘钥，就相当于获得了资产的直接掌控权。

此次事件中，用户正是使用此在线钱包后，被攻击者通过某种攻击方式将恶意插件插入钱包中，从而获得钱包用户的密钥，直接利用密钥盗取用户资产的。

对用户的建议：

建议最近使用过此在线钱包的用户，通过其他方式生成新的钱包，并将财产转移至新钱包。

同时，对于会经常使用到在线钱包的用户，我们建议在使用时，在不同平台设置不同的密码，并且开启二次认证。另外，建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

标签：ASHDASHDASALLSynth iDASHdash币为何一蹶不振DASC币KALLY币

比特币交易所热门资讯