區塊鏈:科普：加密錢包漏洞利用與分析_LEC

區塊鏈技術的迅速發展，使得加密資產逐漸成為大眾的投資方式之一。全球加密資產規模的高速增長使得錢包成為每一個加密資產擁有者不可或缺的資產管理工具。加密領域里，數字錢包和資金息息相關，越來越多的人意識到了數字錢包安全的至關重要性。2020年8月9日，CertiK的安全工程師王沛宇與何敏之在DEFCON區塊鏈安全大會上發表了演講主題為：ExploitInsecureCryptoWallet的主題報告。加密錢包是一種存儲私鑰和/或公鑰的設備、程序或服務。因為加密貨幣是虛擬的，所以加密錢包不能用來存放現實中的錢幣。但當我們進行交易時，加密錢包可以使用用戶的私鑰來為交易簽名，并在區塊鏈上進行廣播。加密錢包有不同的種類，比如軟件錢包和硬件錢包。本次演講將重點關注網頁錢包和桌面錢包。點擊鏈接觀看加密錢包科普演講視頻：https://v.qq.com/x/page/v3135cz0g73.html網頁錢包

這是一個典型的網頁錢包界面，它就是我們CertiK的Deepwallet錢包。用戶可以在這個界面中看到賬戶余額以及發送貨幣的選項，因為這是一個基于COSMOS的錢包，所以具有委托功能。

當談論到網頁應用安全問題時，我們最先想到的就是“開放式Web應用程序安全項目”的十大安全漏洞。以下是CertiK安全工程師調查的27款網頁錢包中“OWASPTop10”的十大安全漏洞的一些統計數據。CertiK安全工程師在3款錢包中發現了跨站腳本攻擊，在此選取2例進行案例研究。

民盟中央建議加速元宇宙科普和立法:3月4日消息，民盟中央已起草了《關于“元宇宙”技術發展的提案》，并將提交全國政協十三屆五次會議。在提案中，民盟中央建議，在科普層面需加速知識傳播，法律層面則需加快立法步伐。民盟中央擬提交的提案指出，目前，在新興網絡層面，相關政策法規相對缺失。“元宇宙”在未來將會帶動形成全新的網絡形態，當遇到突發輿情，全虛擬的環境、場景將更難進行源頭追蹤、問題疏導。因此建議應盡早加快立法研究，盡快形成與技術、市場發展相適應的治理模式和法律基礎，全面提升我國社會治理的水平。建議組織相關部門，針對“元宇宙”相關需求、風險進行立法研究，并盡快發布。此前消息，民進中央擬向全國政協十三屆五次會議提交《關于積極穩妥推進元宇宙技術和產業發展的提案》。建議推進元宇宙技術產業發展，建立相關監管治理體系。（華夏時報）[2022/3/4 13:37:12]

我們在一個去中心化錢包里發現了一個SqI注入漏洞。但是它的數據庫只包含了交易數據，由于區塊鏈中的交易數據已經公開，利用Sql注入來偷取數據并沒有什么意義。由于也沒有辦法利用SqI注入實現后臺代碼執行，在這種情況下，這個SqI注入攻擊是沒有多少實際影響的。此外，這個去中心化錢包內的某個API的訪問權限存在漏洞，未經授權的用戶可以篡改其他人的2FA設置，但是沒辦法利用這個漏洞去盜取別人的賬戶里面的資產。有很多網頁錢包都缺少安全標頭(header)，例如ContentSecurityPolicy(CSP)和“X-Frame-Options”的標頭，這會使得錢包容易遭到點擊劫持攻擊。一些錢包還在用早已過時的JavaScript庫和存在CVE的Nginx/Apache服務器，這些漏洞同樣無法直接被利用。CertiK安全工程師暫未發現任何處理XML格式數據的錢包，也沒有發現有錢包進行了任何反序列化操作，所以沒有發現XXE以及反序列相關的漏洞。關于日志和監控方面，也暫時沒有更多信息。①案例一：去中心化網頁錢包的DOMXSS漏洞這是一個去中心化的網頁錢包的DOMXSS漏洞案例。這個錢包支持單一協議，并擁有網頁錢包的所有基本功能。存在漏洞的功能此應用程序會保存上次的訪問位置：用戶用密碼解鎖錢包后，會重新跳轉到解鎖之前的頁面，下圖是實現此功能的代碼。如果你有測試網頁應用程序的經驗，就知道這種情況很有可能存在DOMXSS漏洞，本案例就是如此。

徐明星新書《趣說金融史》正式發布 科普金融發展之道:金色財經現場報道，9月23日，歐科云鏈創始人徐明星攜手著名財經作家李霽月、行業觀察者顧澤輝力作《趣說金融史》一書，跨越5000年金融歷史，重讀金錢故事，并預測新的金融時代。該書由中信出版社出版，將于近期正式發售。據了解，本書可以更好地呈現金融的起源與發展，幫助人們理解貨幣、金融與未來經濟。作為區塊鏈行業領軍企業——歐科云鏈的創始人，徐明星深知技術探索對經濟社會的重要推動作用，他曾先后出版過《圖說區塊鏈》、《區塊鏈：重塑經濟與世界》、《通證經濟》、《鏈與未來》等行業權威著作，解讀區塊鏈等新型技術的推動下，金融與社會的升級之道，對經濟社會發展做出了重大貢獻。其中，《區塊鏈：重塑經濟與世界》曾作為新中國70周年重點推薦圖書之一被相關書店推薦。[2021/9/23 17:00:57]

DOMXSSDOMXSS需要Source和Sink。Source是應用程序收到非可信數據的位置，然后會將其傳遞給Sink。當用戶訪問此鏈接時，“window.location.search”將返回"?returnTo=/validators"，然后“{returnTo}”會包含"/validators"。

Sink是處理來自Source的非可信數據的地方，因此Sink在這里是：“window.location.href”，如果用戶輸入“returnTo=/validators”。錢包返回到“/validators”，即轉到驗證者頁面。如果輸入“returnTo=javascript:alert(1)”，將在瀏覽器中彈出alert窗口。

美國說唱歌手Megan Thee Stallion與Cash App合作發布比特幣科普視頻:美國說唱歌手Megan Thee Stallion與由Square開發的移動支付服務Cash App合作發布了一段名為“Bitcoin for Hotties”的視頻。該視頻從她的角度解釋了什么是比特幣，為什么比特幣有價值等內容。Megan Thee Stallion在Instagram上擁有超過2410萬粉絲，在 Twitter上擁有640萬粉絲。（Bitcoin News）[2021/8/8 1:41:10]

Keystore和Password

這個錢包屬于去中心化的網頁錢包。用戶創建帳戶或導入帳戶后，Keystore和Password都存儲在本地存儲中。使用JavaScript讀取本地存儲JavaScript能夠讀取本地存儲中的信息。在本案例中，鍵值數據顯示為存儲在本地存儲中的“HelloWorld”。JavaScript就可以執行LocalStorage.getItem獲取“World”。

利用DOMXSS那如何利用所發現的DOMXSS漏洞來竊取本地存儲中的Keystore和Password呢？在下面的這個URL中，它可以讀取Keystore和Password的內容，并將其發送到黑客的服務器。在黑客的服務器日志中，可以直接看到Keystore內容和Password。一旦掌握了這些信息，就相當于控制了用戶的賬戶，可以登錄到他們的錢包并將錢轉出。

國務院：推進科普與區塊鏈技術深度融合:為貫徹落實黨中央、國務院關于科普和科學素質建設的重要部署，依據《中華人民共和國科學技術進步法》、《中華人民共和國科學技術普及法》制定《全民科學素質行動規劃綱要（2021－2035年）》，其中要求實施智慧科普建設工程。推進科普與區塊鏈等技術深度融合，強化需求感知、用戶分層、情景應用理念，推動傳播方式、組織動員、運營服務等創新升級，加強“科普中國”建設，強化科普信息落地應用，與智慧教育、智慧城市、智慧社區等深度融合。（新華社）[2021/7/10 0:40:52]

修復方法該網頁錢包廠商的修復方法為，每當用戶解鎖錢包，網頁錢包總會重定向到個人主頁，從而不給攻擊者任何插入惡意代碼的機會。

②案例二：托管網頁錢包中的反射型XSS漏洞第二個案例研究是關于某個托管網頁錢包中的反射型XSS漏洞。托管網頁錢包是由服務器管理所有私鑰。如果要登錄錢包應用，用戶要通過電子郵件接收一次性密碼。此案例中的錢包支持16種不同貨幣，具備所有錢包的基礎功能以及一個附加功能，稱作“推特贈送”。API操作API的URL格式類似于“/API/{endpoint}”，例如獲取用戶交易信息的API即為“/apiUser/cloudTrans”。如果訪問一個不存在的API端點，如“/api/test”，服務器將返回帶有錯誤消息的頁面，如下圖“無法解析請求”。此外，我們發現鏈接中的內容出現在了服務器返回的頁面中。這代表著一個信號：如果后臺不對用戶輸入進行任何處理或編碼，就有可能遭到反射型跨站點腳本(ReflectedXSS)攻擊。

科普時報：區塊鏈與云計算長期發展目標不謀而合:據《科普時報》今日報道，區塊鏈與云計算兩項技術的結合，從宏觀上來說，一方面，利用云計算已有的基礎服務設施或根據實際需求做相應改變，實現開發應用流程加速，滿足未來區塊鏈生態系統中初創企業、學術機構、開源機構、聯盟和金融等機構對區塊鏈應用的需求。另一方面，對于云計算來說，“可信、可靠、可控制”被認為是云計算發展必須要翻越的“三座山”，而區塊鏈技術以去中心化、匿名性，以及數據不可篡改為主要特征，與云計算長期發展目標不謀而合。[2018/5/4]

alert(document.domain)在此錢包的API請求后面加上以下內容：<svg+onload=alert(document.domain)>”應用程序會彈出窗口。這是一個托管的的網頁錢包，私鑰歸服務器管理，因此無法像第一個案例那樣直接竊取用戶信息。在這個案例中，我們的計劃是嘗試利用這個漏洞來劫持用戶賬戶。

Cookie用戶登錄后，其會話令牌存儲在“PHPSESSID”cookie中，而這個錢包的特殊之處在于這個令牌并沒有“HttpOnly”。如果Cookie設置了HttpOnly，瀏覽器將阻止JavaScript訪問這個cookie。換句話說，它可以抵御攻擊者通過跨站點腳本攻擊(XSS)竊取cookie中的會話令牌。

獲取會話令牌由于本案例的會話令牌中沒有HttpOnly，所以可以通過跨站腳本攻擊，讀取cookie內容并且發送到自己的服務器。獲取會話令牌后，就可以用它來登錄受害者的帳戶。既然有了會話令牌，就是時候來一波洗劫一空了。

入侵錢包的最終目標大部分情況下是竊取用戶資金，但還存在一個問題，因為在進行貨幣交易時還需要2FA驗證。在這一點上，黑客既不能重置2FA，也不能禁用2FA，因此，攻擊者需要想辦法繞過2FA驗證。

繞過2FA驗證前面提到，這個錢包有一個推特贈送功能：當用戶進入此功能界面時，它會詢問用戶想要贈送什么類型的貨幣、贈送多少貨幣以及贈送多少人。通過這個截圖可以看到，用戶最多可以贈送2個比特幣。

當用戶設置好了贈送活動，其他人需要先點擊關注，艾特3個朋友并轉發此贈送推文，只要完成這些步驟，就可以去領獎了。

但問題就出在這個功能不需要2FA！攻擊者可以通過反射型XSS，盜取受害者會話，登錄受害者賬戶，創建很多贈送活動，然后自己去申領獎勵。這樣就可以把受害者的賬戶余額全部取出。修復方法廠商對輸出進行HTML編碼，這樣解決了XSS漏洞。同時為含有會話令牌的“PHPSESSID”Cookie設置“HttpOnly”。這樣一來，即便應用程序受到跨站點腳本攻擊，攻擊者也無法直接竊取賬戶的會話令牌。桌面錢包

桌面錢包是一種在蘋果操作系統、Windows和Linux上運行的應用程序。桌面錢包都使用了什么框架呢？CertiK安全工程師研究了18款桌面錢包，其中QT、DotNet，Java各一個，其余15個使用了Electron框架。這部分的案例研究將探討DotNet桌面錢包的服務器遠程代碼執行漏洞，以及Electron錢包的客戶端遠程代碼執行漏洞。

①案例一：DotNet桌面錢包的服務器遠程代碼執行漏洞下文分析在桌面錢包中發現的一個遠程代碼執行漏洞。首先介紹一下背景：這個錢包是一個去中心化的單一協議錢包，用C#語言編寫，使用了DotNet框架。它包含許多常見的錢包功能，如帳戶管理、交易轉賬和部署/調用智能合約等。比較有趣的是，它還允許用戶上傳文件到服務器。這功能在錢包中并不常見，所以我們決定進一步研究這個功能。如前所述，這個錢包是基于DotNet的，如果沒有對代碼進行混淆，就很容易通過反編譯來獲取源代碼。此案例錢包正是這種情況，因此我們能夠恢復其源代碼來進行進一步的分析。靜態源碼分析在對可執行文件進行反編譯之后，我們找到了實現文件上傳的源代碼，如下面的代碼片段所示。

錢包向服務器發送一個HTTPPOST請求并返回文件上傳URL，“upload.php”是服務器上的處理文件上傳的代碼。現在我們知道服務器后臺使用了PHP，因此，如果可以上傳一個PHPWebshell到服務器并在瀏覽器中打開它，我們可能就能夠在服務器上遠程執行代碼。文件上傳在成功地用錢包上傳了一個PHPwebshell文件之后，CertiK安全工程師嘗試著在瀏覽器訪問上傳的文件。成功的訪問了上傳的Webshell,并能在Webshell中執行命令。我們同時發現該錢包的服務器是在“administrator”用戶下運行的，因此能夠以“administrator”權限執行命令。在這種情況下攻擊者能夠完全地控制這臺服務器，并且能夠操縱其他用戶上傳的文件。但是，由于這是一個去中心化的錢包，服務器不會存儲任何用戶私鑰，所以此漏洞無法被利用來直接危害用戶帳戶。

修復方法修復是非常簡單的，開發人員直接刪除了文件上傳功能，這樣就不必再擔心這個安全問題了。這是一個很好的辦法，因為加密錢包應該盡可能地保持功能上的簡潔，以此來避免安全問題。接下來，再來談談Electron錢包的安全問題。②案例二：桌面錢包客戶端遠程代碼執行漏洞Electron是什么？為什么要用Electron？Electron是一個開源軟件框架，它讓開發人員能夠使用HTML、CSS和JavaScrip來構建跨平臺的桌面應用程序。使用Electron的好處是開發人員可以重復利用網頁應用程序代碼來構建桌面應用程序，也就是說不需要找另外的代碼庫，也不需要學習新的編程語言。在調試Electron應用程序時，使用谷歌瀏覽器的DevTools會非常容易。Electron應用程序可直接在操作系統上運行，因為它可以訪問Node.js模塊，所以也就可以構建比網頁應用程序更強大的桌面應用程序。今年六月，CertiK安全團隊在Symbol桌面錢包中發現了一個遠程執行代碼漏洞，并將該漏洞提交到了Symbol漏洞賞金計劃。詳情請點擊https://mp.weixin.qq.com/s?總結

無論是由內部安全團隊還是第三方公司執行安全審計和滲透測試，對于確保系統的安全性都是至關重要的。專業的安全人員會試圖從“惡意黑客”的角度來破壞系統，幫助在真正的黑客利用漏洞之前識別和補救漏洞。

Tags：區塊鏈TORERTLEC區塊鏈游戲STORJqwertycoinBLEC價格

幣安下載