安全事件 | MyDashWallet在线钱包用户资产失窃细节披露
事件
2019年7月10日,降维安全实验室(johnwick.io)接到一位用户的丢币反馈,声称自己在使用MyDashWallet线上钱包(https://mydashwallet.org/)的过程中,丢失了价值数百万人民币的达世币(DASH),经过降维安全实验室的技术人员和用户的协同调查分析得出结论:这是一起典型的供应链挂马攻击事件。截至发稿时为止,MyDashWallet网站上的挂马代码仍然存在,依然有效!为了达世币用户的资产安全起见,我们强烈建议目前不要使用MyDashWallet线上钱包!
分析
MyDashWallet网站源码引用了多个第三方js脚本,其中一个来自greasyfork.org,这是一个GreaseMonkey油猴脚本的分享发布网站,类似程序员界的github。我们来看看greasyfork.org上的这段js代码:
乍一看是个人畜无害的脚本,但是只要往下拉,就可以看到其庐山真面目: 窃取用户的达世币的各种信息,包括账户余额、账户私钥PrivateKey、Keystore、Seed等等等等!果然是:
小孩子才做选择题,大人全都要!
我们简单看下这个脚本,当检测到用户访问网站的主机名第6位字符开始的后5位为hwall(也就是匹配到mydashwallet.org)后,才触发窃取动作。
在窃取动作完成后,会将被窃信息以POST方式发送到https://api.dashcoinanalytics.com/stats.php
结合greasyfork.org上的脚本历史版本和代码差异比较,可知,黑客早在2019年5月13日就部署过恶意脚本。
再结合黑客用来搜集被窃信息所注册的域名 从whois信息可以看出该域名注册于2019年5月13日!
该域名的HTTPS证书有效期,从2019年5月14日开始生效!
结论
由上述分析我们可以推论出:- 至少在5月13日之前,黑客就控制了MyDashWallet网站(mydashwallet.org)
- 5月13日租赁了窃密服务器,申请了域名和HTTPS证书
- 5月13日在greasyfork.org上提交了恶意脚本,并在之后不断进行更新
- 随后在mydashwallet.org上插入这个恶意脚本,然后就是姜太公钓鱼直到现在!
我们将上述分析告知用户后,用户随即在MyDashWallet的电报群中反馈了相关问题,但是却被管理员立即踢出了群组! 目前,在我们发布相关事件预警后,MyDashWallet官方暂未作出任何回应!
免责声明:
1.本文内容综合整理自互联网,观点仅代表作者本人,不代表本站立场。
2.资讯内容不构成投资建议,投资者应独立决策并自行承担风险。
- 贝佐斯最后一封股东信:宇宙希望你成为普通人,千万别让它成为现实2021-04-19 17:02
- Props,让互联网与区块链无缝对接的「中间件」2021-04-19 17:02
- Coinbase高管到底卖了多少股票?2021-04-19 16:03
- 通往未来之路:下一代互联网与Metaverse2021-04-19 16:03
- 央行前行长周小川谈比特币:要提醒,要小心2021-04-19 15:03
- 链上新知 |电子图片卖出7000万美金,让马斯克都来站台的NFT究竟是什么?2021-04-19 15:02
- Crypto VC,LP怎么投?2021-04-19 13:03
- 周末比特币融资利率跌至-0.03%低点,为7个月以来最低水平2021-04-19 11:02