Primera versión | Uso compartido de productos secos: explotación y análisis de vulnerabilidades de billetera cifrada

Con el rápido desarrollo de la tecnología blockchain, los activos cifrados se han convertido gradualmente en uno de los métodos de inversión para el público. El rápido crecimiento de la escala de activos cifrados globales hace que la billetera sea una herramienta de gestión de activos indispensable para todos los propietarios de activos cifrados. En el campo del cifrado, las billeteras digitales están estrechamente relacionadas con los fondos, y cada vez más personas se dan cuenta de la importancia de la seguridad de las billeteras digitales. El 9 de agosto de 2020, Peiyu Wang y Minzhi He, ingenieros de seguridad de CertiK, pronunciaron un discurso en la Conferencia de seguridad de cadena de bloques DEF CON sobre el tema: informe temático Exploit Insecure Crypto Wallet (utilización y análisis de vulnerabilidad de billetera cifrada). Una billetera criptográfica es un dispositivo, programa o servicio que almacena claves privadas y/o públicas. Debido a que las criptomonedas son virtuales, las billeteras encriptadas no se pueden usar para almacenar monedas reales. Pero cuando hacemos una transacción, la billetera encriptada puede usar la clave privada del usuario para firmar la transacción y transmitirla en la cadena de bloques. Hay diferentes tipos de monederos criptográficos, como monederos de software y monederos de hardware. Esta charla se centrará en las billeteras web y las billeteras de escritorio. Esta es una interfaz de billetera web típica, que es nuestra billetera CertiK Deepwallet. Los usuarios pueden ver el saldo de la cuenta y la opción de enviar moneda en esta interfaz. Debido a que esta es una billetera basada en COSMOS, tiene una función de delegación. Cuando hablamos de seguridad de aplicaciones web, lo primero que viene a la mente son las diez principales vulnerabilidades de seguridad del Proyecto de seguridad de aplicaciones web abiertas (OWASP). Aquí hay algunas estadísticas sobre las 10 principales vulnerabilidades de seguridad del "OWASP Top 10" entre 27 billeteras web encuestadas por ingenieros de seguridad de CertiK. Los ingenieros de seguridad de CertiK encontraron ataques de secuencias de comandos en sitios cruzados (XSS) en 3 billeteras, y aquí se seleccionan 2 casos para el estudio de caso. Baidu Apollo presenta la serie "Apollo 001" de colecciones digitales conmemorativas: Jinse Finance informó que, según la cuenta pública oficial de la conducción inteligente de Baidu Apollo, Baidu Apollo lanzó la primera serie "Apollo 001" de colecciones digitales conmemorativas en toda la red. El modelo corresponde a un hito importante de la conducción autónoma Baidu Apollo. Se informa que la colección digital lanzará el lanzamiento aéreo del retrato familiar de la familia de robots de automóviles a las 09:55 el 8 de julio de 2022. [2022/7/7 1:58:19] Encontramos una vulnerabilidad de inyección SqI en una billetera descentralizada. Pero su base de datos solo contiene datos de transacciones.Dado que los datos de transacciones en la cadena de bloques se han hecho públicos, no tiene sentido usar la inyección Sql para robar datos. Dado que no hay forma de usar la inyección SqI para lograr la ejecución de código en segundo plano, en este caso, este ataque de inyección SqI tiene poco impacto práctico. Además, existe una laguna en la autoridad de acceso de una API en esta billetera descentralizada. Los usuarios no autorizados pueden manipular la configuración 2FA de otras personas, pero no hay forma de usar esta laguna para robar activos en las cuentas de otras personas. Muchas billeteras web carecen de encabezados de seguridad, como la Política de seguridad de contenido (CSP) y los encabezados "X-Frame-Options", que pueden hacer que la billetera sea vulnerable a los ataques de clickjacking (Clickjacking). Algunas billeteras todavía usan bibliotecas de JavaScript obsoletas y servidores Nginx/Apache con CVE, y estas vulnerabilidades no se pueden explotar directamente. Los ingenieros de seguridad de CertiK no han encontrado ningún monedero que procese datos en formato XML, ni ningún monedero que haya realizado operaciones de deserialización, por lo que no se han encontrado vulnerabilidades relacionadas con XXE ni con la deserialización. En cuanto a registros y monitoreo, no hay más información por el momento. ①Caso 1: vulnerabilidad DOM XSS de billetera web descentralizada Este es un caso de vulnerabilidad DOM XSS de billetera web descentralizada. Esta billetera admite un solo protocolo y tiene todas las funciones básicas de una billetera web. Función vulnerable Esta aplicación guardará la última ubicación de acceso: después de que el usuario desbloquee la billetera con la contraseña, volverá a la página anterior al desbloqueo. La siguiente figura es el código para realizar esta función. Si tiene experiencia probando aplicaciones web, sabe que existe una alta probabilidad de vulnerabilidades DOM XSS en este caso, que es el caso en este caso. Primera versión | Se establece oficialmente la base de prácticas de seguridad de software y tecnología blockchain: Jinse Finance informó que hoy, la base de prácticas de seguridad de software y tecnología blockchain construida conjuntamente por China Soft Association Blockchain Branch, People's Public Security University y Heze City Public Security Bureau oficialmente establecida. Al mismo tiempo, Song Ailu, subsecretaria general de la rama de cadena de bloques de la Asociación de Software de China, fue contratada como experta especial en la base de prácticas de seguridad de software y tecnología de cadena de bloques. La base de prácticas de seguridad de software y tecnología blockchain involucra principalmente las siguientes áreas: transacciones ilegales de moneda digital y lavado de dinero, esquemas piramidales de blockchain y fraude de telecomunicaciones, juegos de azar en línea, pago de cuatro partes, registro de marca fraudulento, etc., gobernanza social conjunta, seguridad urbana , tecnología de punta Los expertos de la industria en el campo cooperan con la Asociación de Policía. Según informes públicos, los órganos de seguridad pública de la ciudad de Heze acaban de descifrar recientemente un gran caso de fraude en la red de telecomunicaciones, aplastaron a varias bandas de fraude sospechosas de usar préstamos en línea e invertir en "Bitcoin", arrestaron a 83 sospechosos y confiscaron y congelaron el fondos involucrados 27 millones de yuanes. [2020/7/21] DOM XSS requiere fuente y sumidero. El origen es donde la aplicación recibe datos que no son de confianza (entrada del usuario), que luego pasa al receptor. Cuando un usuario visita este vínculo, "ventana.ubicación.búsqueda" devolverá  "?returnTo=/validators", y luego "{returnTo}" contendrá "/validators". Sink es donde se procesan los datos no confiables de Source, por lo que Sink está aquí: "window.location.href", si el usuario ingresa "returnTo=/validators". La billetera vuelve a "/validadores", es decir, va a la página de validadores. Si ingresa "returnTo=javascript:alert(1)", aparecerá una ventana de alerta en el navegador. Las carteras Keystore y Password son carteras web descentralizadas. Después de que un usuario crea una cuenta o importa una cuenta, tanto Keystore como Password se almacenan en el almacenamiento local. Primera versión | Las transferencias anteriores de 18 000 BTC fueron ordenadas internamente por el intercambio Bithumb: el sistema de monitoreo en cadena de Beijing Lianan descubrió que se produjo una transferencia de 18 000 BTC a las 17:07 del 24 de octubre, hora de Beijing. es el trabajo de acabado interno del intercambio Bithumb, que empaqueta una gran cantidad de UTXO de 100 a 200 BTC en 18 UTXO de 1000 BTC y los transfiere a su dirección interna. Por lo general, la clasificación de UTXO de varios "valores nominales" a nivel de número entero es una operación regular del intercambio. [2019/10/24] Use JavaScript para leer el almacenamiento local JavaScript puede leer información en el almacenamiento local. En este caso, los datos de clave-valor aparecen como "Hello World" almacenados en el almacenamiento local. JavaScript puede ejecutar LocalStorage.getItem("Hello") para obtener "Mundo". Usando DOM XSS ¿Cómo usar la vulnerabilidad DOM XSS descubierta para robar Keystore y Password en el almacenamiento local? En esta URL a continuación, puede leer el contenido de Keystore y Password y enviarlo al servidor del hacker. En el registro del servidor del pirata informático, puede ver directamente el contenido y la contraseña del almacén de claves. Una vez en posesión de esta información, es equivalente a controlar la cuenta del usuario, puede iniciar sesión en su billetera y transferir dinero. Método de reparación El método de reparación del fabricante de la billetera web es que cada vez que el usuario desbloquea la billetera, la billetera web siempre será redirigida a la página de inicio personal, para no darle al atacante ninguna oportunidad de insertar código malicioso. Primer lanzamiento | DVP: Las vulnerabilidades en el intercambio de Bitstamp pueden conducir a la filtración de una gran cantidad de KYC y otra información: Golden Finance News, recientemente, DVP recibió una vulnerabilidad en el intercambio de renombre mundial Bitstamp enviada por personal de seguridad. Los atacantes pueden usar esto vulnerabilidad para ver una gran cantidad de ID de usuario, la información confidencial, como las tarjetas bancarias, representa una grave amenaza para la seguridad de la información del usuario. Para evitar el vicioso incidente de la fuga de KYC, el equipo de seguridad de DVP notificó a la plataforma que lo reparara lo antes posible después de recibir la vulnerabilidad, pero no recibió respuesta. DVP recuerda a los usuarios relevantes que presten atención a la seguridad de la información personal para evitar pérdidas. [2019/8/13]② Caso 2: Vulnerabilidad XSS reflejada en una billetera web alojada El segundo estudio de caso trata sobre una vulnerabilidad XSS reflejada en una billetera web alojada. Las billeteras web alojadas son servidores que administran todas las claves privadas. Para iniciar sesión en la aplicación de billetera, el usuario recibe una contraseña de un solo uso por correo electrónico. La billetera en este caso admite 16 monedas diferentes, tiene todas las funciones básicas de la billetera y una función adicional llamada "dar twitter". Funcionamiento de la API El formato de URL de la API es similar a "/API/{endpoint}", por ejemplo, la API para obtener información de transacciones del usuario es "/apiUser/cloudTrans". Si accede a un extremo de la API que no existe, como "/api/test", el servidor devolverá una página con un mensaje de error, como se muestra en la figura siguiente "No se puede analizar la solicitud". Además, encontramos que el contenido del enlace aparecía en la página devuelta por el servidor. Esto representa una señal: si no hay procesamiento o codificación de la entrada del usuario en segundo plano, puede ser atacado por Reflected XSS. alert(document.domain) Agregue el siguiente contenido después de la solicitud API de esta billetera: <svg+onload=alert(document.domain)>" La aplicación abrirá una ventana. Esta es una billetera web alojada, clave privada Es administrado por el servidor, por lo que es imposible robar directamente la información del usuario como en el primer caso. En este caso, nuestro plan es tratar de usar esta laguna para secuestrar las cuentas de los usuarios. Primer lanzamiento | Ant mining machine S17 mapa de máquina real para la primera vez expuesta con ventiladores de doble barril y diseño de máquina todo en uno: tras el anuncio oficial de la venta al contado el 9 de abril, el próximo nuevo Antminer S17 de Bitmain tiene nuevos desarrollos.Se informa que el mapa de máquina real de Antminer El S17 se expuso por primera vez en Internet hoy. A juzgar por la exposición, a juzgar por las imágenes, el Antminer S17 continúa con el diseño de ventilador de doble cilindro del producto S15 de la generación anterior y adopta el diseño del cuerpo de una máquina todo en uno. Algunas personas en la industria creen que el diseño de doble cañón puede acortar efectivamente el rango de viento, y la diferencia de temperatura entre la entrada y la salida de la máquina minera Más pequeña, el rendimiento de la máquina mejorará considerablemente. Anteriormente, la persona a cargo de Bitmain product dijo en una entrevista con los medios que, en comparación con la generación anterior de productos, el nuevo producto S17 tiene un mayor rendimiento en términos de índice de eficiencia energética y potencia de cómputo por unidad de volumen. Gran mejora. [2019/4/3] Cookie After el usuario inicia sesión, el token de sesión se almacena en la cookie "PHPSESSID", y la característica especial de esta billetera es que el token no tiene "HttpOnly". Si la cookie está configurada en HttpOnly, el navegador evitará que JavaScript acceda esta cookie. En otras palabras, puede evitar que los atacantes roben el token de sesión en la cookie a través de scripts de sitios cruzados (XSS). Obtención del token de sesión Dado que no hay HttpOnly en el token de sesión en este caso, puede leer el contenido de la cookie y enviarlo a su propio servidor a través de un ataque de secuencias de comandos entre sitios (XSS). Después de obtener el token de sesión, puede usarlo para iniciar sesión en la cuenta de la víctima. Ahora que tiene un token de sesión, es hora de venir Saqueado. El objetivo final de piratear billeteras es principalmente robar los fondos de los usuarios, pero hay un problema porque también se requiere la verificación 2FA al realizar transacciones de divisas. En este punto, los piratas informáticos no pueden restablecer 2FA ni desactivarlo, por lo tanto, el atacante necesita para encontrar una manera de eludir la verificación 2FA. Como se mencionó anteriormente, esta billetera tiene una función de obsequio de Twitter: cuando el usuario ingresa a esta interfaz de función, le preguntará qué tipo de moneda desea obsequiar y cuánta moneda desea obsequiar. Y cuántas personas regalar. Puede ver en esta captura de pantalla que los usuarios pueden regalar hasta 2 bitcoins. Cuando el usuario ha configurado el evento de regalo, otras personas deben hacer clic para seguir, Aite 3 amigos y reenviar este tweet de regalo, siempre y cuando se complete Después de estos pasos, puede ir a recibir el premio. ¡Pero el problema es que esta función no requiere 2FA! Los atacantes pueden usar XSS reflejado para robar la sesión de la víctima, iniciar sesión en la cuenta de la víctima y crear muchos Done actividades y luego vaya a reclamar las recompensas usted mismo. De esta forma, se puede retirar todo el saldo de la cuenta de la víctima. El proveedor codifica en HTML la salida, lo que resuelve la vulnerabilidad XSS. También configure "HttpOnly" para la cookie "PHPSESSID" que contiene el token de sesión. De esta forma, incluso si la aplicación es atacada por secuencias de comandos entre sitios, el atacante no puede robar directamente el token de sesión de la cuenta. Una billetera de escritorio es una aplicación que se ejecuta en Mac OS, Windows y Linux. ¿Qué marco utilizan las billeteras de escritorio? Los ingenieros de seguridad de CertiK estudiaron 18 carteras de escritorio, incluidas QT (C++), Dot Net (C#) y Java, y las 15 restantes utilizaron el marco Electron. Esta parte del estudio de caso explorará la vulnerabilidad de ejecución remota de código del servidor de la billetera de escritorio Dot Net y la vulnerabilidad de ejecución remota de código del cliente de la billetera Electron. Caso 1: Vulnerabilidad de ejecución remota de código del servidor de la billetera de escritorio Dot Net La siguiente sección analiza una vulnerabilidad de ejecución remota de código encontrada en la billetera de escritorio. Primero, permítanme presentarles los antecedentes: esta billetera es una billetera de protocolo único descentralizada, escrita en lenguaje C#, utilizando el marco Dot Net. Contiene muchas funciones comunes de billetera, como administración de cuentas, transferencia de transacciones e implementación/invocación de contratos inteligentes, etc. Más interesante aún, también permite a los usuarios cargar archivos en el servidor. Esta característica no es común en las carteras, por lo que decidimos investigarla más a fondo.

Tags：

OKX Exchange