My Dash Wallet在線錢包惡意腳本曝光，已有數千萬用戶資產被竊

事件

2019年7月10日，降維安全實驗室(johnwick.io)接到一位用戶的丟幣反饋，聲稱自己在使用MyDashWallet線上錢包(https://mydashwallet.org/)的過程中，丟失了價值數百萬人民幣的達世幣(DASH)，經過降維安全實驗室的技術人員和用戶的協同調查分析得出結論：這是一起典型的供應鏈掛馬攻擊事件。

截至發稿時為止，MyDashWallet網站上的掛馬代碼仍然存在，依然有效！為了達世幣用戶的資產安全起見，我們強烈建議目前不要使用MyDashWallet線上錢包！

分析

MyDashWallet網站源碼引用了多個第三方js腳本，其中一個來自greasyfork.org，這是一個GreaseMonkey油猴腳本的分享發布網站，類似程序員界的github。

我們來看看greasyfork.org上的這段js代碼：

乍一看是個人畜無害的腳本，但是只要往下拉，就可以看到其廬山真面目：

竊取用戶的達世幣的各種信息，包括賬戶餘額、賬戶私鑰PrivateKey、Keystore、Seed等等等等！果然是：

小孩子才做選擇題，大人全都要！

我們簡單看下這個腳本，當檢測到用戶訪問網站的主機名第6位字元開始的後5位為hwall(也就是匹配到mydashwallet.org)後，才觸發竊取動作。

結合greasyfork.org上的腳本歷史版本和代碼差異比較，可知，黑客早在2019年5月13日就部署過惡意腳本。

再結合黑客用來搜集被竊信息所註冊的域名

從whois信息可以看出該域名註冊於2019年5月13日！

該域名的HTTPS證書有效期，從2019年5月14日開始生效！

結論

由上述分析我們可以推論出：

至少在5月13日之前，黑客就控制了MyDashWallet網站(mydashwallet.org)

5月13日租賃了竊密伺服器，申請了域名和HTTPS證書

5月13日在greasyfork.org上提交了惡意腳本，並在之後不斷進行更新

隨後在mydashwallet.org上插入這個惡意腳本，然後就是姜太公釣魚直到現在！

我們將上述分析告知用戶後，用戶隨即在MyDashWallet的電報群中反饋了相關問題，但是卻被管理員立即踢出了群組！ 目前，在我們發布相關事件預警後，My DASHWallet在線錢包暫未作出任何回應！

（作者：降維安全，內容來自鏈得得內容開放平台「得得號」；本文僅代表作者觀點，不代表鏈得得官方立場）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！