MyDashWallet在线钱包用户资产失窃细节披露！

3 years ago

source link: https://www.lianyi.cc/zixun/1240360
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

MyDashWallet在线钱包用户资产失窃细节披露！

LIANYI • 2019-07-11 17:17 • 资讯 • 阅读 12031

2019年7月10日，降维安全实验室(johnwick.io)接到一位用户的丢币反馈，声称自己在使用MyDashWallet线上钱包(https://mydashwallet.org/)的过程中，丢失了价值数百万人民币的达世币(DASH)，经过降维安全实验室的技术人员和用户的协同调查分析得出结论：这是一起典型的供应链挂马攻击事件。
截至发稿时为止，MyDashWallet网站上的挂马代码仍然存在，依然有效！为了达世币用户的资产安全起见，我们强烈建议目前不要使用MyDashWallet线上钱包！

MyDashWallet网站源码引用了多个第三方js脚本，其中一个来自greasyfork.org，这是一个GreaseMonkey油猴脚本的分享发布网站，类似程序员界的github。

我们来看看greasyfork.org上的这段js代码：

乍一看是个人畜无害的脚本，但是只要往下拉，就可以看到其庐山真面目：
窃取用户的达世币的各种信息，包括账户余额、账户私钥PrivateKey、Keystore、Seed等等等等！果然是：

小孩子才做选择题，大人全都要！

我们简单看下这个脚本，当检测到用户访问网站的主机名第6位字符开始的后5位为hwall(也就是匹配到mydashwallet.org)后，才触发窃取动作。

在窃取动作完成后，会将被窃信息以POST方式发送到https://api.dashcoinanalytics.com/stats.php

结合greasyfork.org上的脚本历史版本和代码差异比较，可知，黑客早在2019年5月13日就部署过恶意脚本。

再结合黑客用来搜集被窃信息所注册的域名
从whois信息可以看出该域名注册于2019年5月13日！

该域名的HTTPS证书有效期，从2019年5月14日开始生效！

由上述分析我们可以推论出：

至少在5月13日之前，黑客就控制了MyDashWallet网站(mydashwallet.org)5月13日租赁了窃密服务器，申请了域名和HTTPS证书5月13日在greasyfork.org上提交了恶意脚本，并在之后不断进行更新随后在mydashwallet.org上插入这个恶意脚本，然后就是姜太公钓鱼直到现在！

我们将上述分析告知用户后，用户随即在MyDashWallet的电报群中反馈了相关问题，但是却被管理员立即踢出了群组！目前，在我们发布相关事件预警后，My DASHWallet在线钱包暂未作出任何回应！

根据国家《关于防范代币发行融资风险的公告》，大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载，不代表链一财经立场，转载请联系原作者。

Recommend

102