Première version | Security Sharing : exploitation et analyse des vulnérabilités des portefeuilles chiffrés

Avec le développement rapide de la technologie blockchain, les actifs cryptés sont progressivement devenus l'une des méthodes d'investissement pour le public. La croissance rapide de l'échelle des actifs cryptés mondiaux fait du portefeuille un outil de gestion d'actifs indispensable pour chaque propriétaire d'actifs cryptés. Dans le domaine du cryptage, les portefeuilles numériques sont étroitement liés aux fonds, et de plus en plus de personnes réalisent l'importance de la sécurité des portefeuilles numériques. Le 9 août 2020, Peiyu Wang et Minzhi He, ingénieurs en sécurité de CertiK, ont prononcé un discours lors de la conférence DEF CON Blockchain Security sur le thème : Exploit Insecure Crypto Wallet (utilisation et analyse de la vulnérabilité du portefeuille crypté). Un portefeuille cryptographique est un appareil, un programme ou un service qui stocke des clés privées et/ou publiques. Parce que les crypto-monnaies sont virtuelles, les portefeuilles cryptés ne peuvent pas être utilisés pour stocker de vraies pièces. Mais lorsque nous effectuons une transaction, le portefeuille crypté peut utiliser la clé privée de l'utilisateur pour signer la transaction et la diffuser sur la blockchain. Il existe différents types de portefeuilles cryptographiques, tels que les portefeuilles logiciels et les portefeuilles matériels. Cette conférence portera sur les portefeuilles Web et les portefeuilles de bureau. Il s'agit d'une interface de portefeuille Web typique, qui est notre portefeuille CertiK Deepwallet. Les utilisateurs peuvent voir le solde du compte et l'option d'envoyer des devises dans cette interface.Parce qu'il s'agit d'un portefeuille basé sur COSMOS, il a une fonction de délégation. Lorsque nous parlons de sécurité des applications Web, les dix principales vulnérabilités de sécurité de l'Open Web Application Security Project (OWASP) viennent à l'esprit en premier. Voici quelques statistiques sur les 10 principales vulnérabilités de sécurité du "OWASP Top 10" parmi 27 portefeuilles Web interrogés par les ingénieurs en sécurité de CertiK. Les ingénieurs en sécurité de CertiK ont trouvé des attaques de script intersite (XSS) dans 3 portefeuilles, et 2 cas sont sélectionnés ici pour une étude de cas. Baidu Apollo lance la série "Apollo 001" de collections numériques commémoratives : Jinse Finance a rapporté que, selon le compte public officiel de la conduite intelligente Baidu Apollo, Baidu Apollo a lancé la première série "Apollo 001" de collections numériques commémoratives sur l'ensemble du réseau. correspond à un événement marquant de la conduite autonome Baidu Apollo. Il est rapporté que la collection numérique publiera le largage aérien du portrait de famille de la famille des robots automobiles à 09h55 le 8 juillet 2022. [2022/7/7 1:58:19] Nous avons trouvé une vulnérabilité d'injection SqI dans un portefeuille décentralisé. Mais sa base de données ne contient que des données de transaction.Comme les données de transaction dans la blockchain ont été rendues publiques, il n'est pas logique d'utiliser l'injection Sql pour voler des données. Puisqu'il n'y a aucun moyen d'utiliser l'injection SqI pour réaliser l'exécution de code en arrière-plan, dans ce cas, cette attaque par injection SqI a peu d'impact pratique. De plus, il existe une faille dans l'autorité d'accès d'une API dans ce portefeuille décentralisé.Les utilisateurs non autorisés peuvent altérer les paramètres 2FA d'autres personnes, mais il n'y a aucun moyen d'utiliser cette faille pour voler des actifs dans les comptes d'autres personnes. De nombreux portefeuilles Web manquent d'en-têtes de sécurité, tels que les en-têtes Content Security Policy (CSP) et "X-Frame-Options", ce qui peut rendre le portefeuille vulnérable aux attaques de détournement de clic (Clickjacking). Certains portefeuilles utilisent encore des bibliothèques JavaScript obsolètes et des serveurs Nginx/Apache avec des CVE, et ces vulnérabilités ne peuvent pas être directement exploitées. Les ingénieurs en sécurité de CertiK n'ont trouvé aucun portefeuille traitant des données au format XML, ni trouvé de portefeuille ayant effectué des opérations de désérialisation, de sorte qu'aucune vulnérabilité XXE et liée à la désérialisation n'a été trouvée. Concernant les logs et le monitoring, il n'y a pas plus d'informations pour le moment. ①Cas 1 : Vulnérabilité DOM XSS d'un portefeuille Web décentralisé Il s'agit d'un cas de vulnérabilité DOM XSS d'un portefeuille Web décentralisé. Ce portefeuille prend en charge un seul protocole et possède toutes les fonctions de base d'un portefeuille Web. Fonction vulnérable Cette application enregistrera le dernier emplacement d'accès : après que l'utilisateur aura déverrouillé le portefeuille avec le mot de passe, il reviendra à la page avant le déverrouillage. La figure suivante est le code pour réaliser cette fonction. Si vous avez de l'expérience dans le test d'applications Web, vous savez qu'il y a de fortes chances de vulnérabilités DOM XSS dans ce cas, ce qui est le cas dans ce cas. Première version | Vice-président des affaires mondiales du groupe Huobi : La supervision déterminera la vitesse de la technologie blockchain et de l'atterrissage de la crypto-monnaie : le 21 janvier, Ciara Sun, vice-présidente des affaires mondiales du groupe Huobi, a déclaré lors du Forum économique mondial de Davos 2019 qu'il s'agissait d'un année importante pour l'attitude réglementaire de la blockchain et de la monnaie numérique. Aux États-Unis, à la fin de 2019, il y avait 21 projets de loi visant la politique de crypto-monnaie et de blockchain, ces projets de loi incluent les questions fiscales, la structure réglementaire, les fonctions de suivi et l'approbation de l'ETF, les agences fédérales réglementant les actifs numériques, etc. L'Union européenne (UE) a mis en œuvre une nouvelle loi le 10 janvier 2020, obligeant les plateformes de crypto-monnaie à adopter des pratiques anti-blanchiment plus strictes. La Suisse, le Japon, la Lituanie, Malte et le Mexique ont adopté des lois exigeant que les échanges soient autorisés conformément aux directives KYC et AML. Des pays comme la Chine, la Turquie, la Thaïlande et d'autres prévoient leurs propres monnaies numériques de banque centrale (CBDC). La réglementation déterminera la vitesse à laquelle la technologie blockchain et les crypto-monnaies seront mises en œuvre. [2020/1/22] DOM XSS nécessite Source et Sink. La source est l'endroit où l'application reçoit des données non fiables (entrée utilisateur), qu'elle transmet ensuite au récepteur. Lorsqu'un utilisateur visite ce lien, "window.location.search" renverra  "?returnTo=/validators", puis "{returnTo}" contiendra "/validators". Le récepteur est l'endroit où les données non fiables de la source sont traitées, donc le récepteur est ici : "window.location.href", si l'utilisateur entre "returnTo=/validators". Le portefeuille retourne à "/validators", c'est-à-dire va à la page des validateurs. Si vous entrez "returnTo=javascript:alert(1)", une fenêtre d'alerte apparaîtra dans le navigateur. Les portefeuilles Keystore et Password sont des portefeuilles Web décentralisés. Une fois qu'un utilisateur a créé un compte ou importé un compte, le magasin de clés et le mot de passe sont stockés dans le stockage local. Première version | Les joueurs atteignant le niveau 22 dans "Let's Catch Monsters" auront accès au jeu de chat exclusif : Aujourd'hui, Tencent a lancé le premier jeu blockchain "Let's Catch Monsters". Après vérification par Jinse Finance, les joueurs qui atteignent le niveau 22 dans le jeu Vous serez exposé au gameplay exclusif du chat, et non au niveau 15 précédemment annoncé par l'officiel. À l'exception des chats de 0e génération invoqués par la cloche attirant les chats et de certains chats exclusifs récompensés par des activités d'exploitation, tous les chats du jeu sont dissociés par défaut. Les chats non enchaînés ne peuvent pas être vendus, ni entrer sur le marché pour être jumelés avec d'autres joueurs ; mais vous pouvez utiliser ces chats pour vous associer à vos amis QQ/WeChat afin de produire de nouveaux chatons. Utilisez l'accessoire "Tianshu Pen" pour enregistrer votre chat dans la blockchain. Lorsque les chats sont enregistrés dans la blockchain, ces chats peuvent entrer sur le marché, gagner des coupons par appariement ou vendre pour gagner des coupons. Que le chat exclusif soit enchaîné ou non n'affecte pas son effet de gain. Mais seulement après avoir été sur la chaîne, il peut se reproduire et échanger avec tous les joueurs du serveur. Le jeu de chat exclusif dans "Let's Catch Monsters Together" est basé sur la technologie blockchain de Tencent, et les actifs numériques virtuels du jeu sont efficacement protégés. De plus, sur la base de la technologie blockchain de Tencent, les chats peuvent également se reproduire librement et utiliser la technologie blockchain pour stocker et ne jamais disparaître. [2019/4/11] Utiliser JavaScript pour lire le stockage local JavaScript peut lire les informations dans le stockage local. Dans ce cas, les données clé-valeur s'affichent sous la forme "Hello World" stockées dans le stockage local. JavaScript peut exécuter LocalStorage.getItem("Hello") pour obtenir "World". Utilisation de DOM XSS Comment utiliser la vulnérabilité DOM XSS découverte pour voler le Keystore et le mot de passe dans le stockage local ? Dans cette URL ci-dessous, il peut lire le contenu de Keystore et Password et l'envoyer au serveur du pirate. Dans le journal du serveur du pirate, vous pouvez voir directement le contenu et le mot de passe du magasin de clés. Une fois en possession de ces informations, cela équivaut à contrôler le compte de l'utilisateur, peut se connecter à son portefeuille et transférer de l'argent. Première version | Baidu promeut la collection en ligne de 246 musées de la chaîne : Golden Finance News, récemment, Baidu Super Chain et Baidu Encyclopedia, basés sur la technologie blockchain pour créer une « chaîne d'art culturel » afin de promouvoir la collection en ligne de 246 musées du plan de musée encyclopédie sinueux. Sur la base de la "chaîne d'art culturel", Baidu travaillera avec les musées pour promouvoir la confirmation et le maintien des droits d'auteur des collections en ligne, et en même temps explorer les méthodes de commerce numérique pour les droits d'auteur des collections en ligne, en fournissant des services plus complets et plus de droits et d'intérêts pour les coopératives. musées. Selon les rapports, ce projet sera réalisé en plusieurs phases.Dans la première phase, l'entrée en chaîne et la confirmation des collections en ligne seront achevées, et un certificat de dépôt de droit d'auteur exclusif sera produit pour chaque collection. Autoriser chaque utilisateur à afficher le certificat sur les pages de collection PC et WAP du projet du musée de l'encyclopédie Baidu. À l'avenir, Baidu promouvra également l'application combinée de l'IA et de la technologie blockchain dans le domaine culturel et muséal pour garantir que les données en chaîne correspondent aux collections, jetant ainsi les bases des transactions numériques ultérieures des droits d'auteur sur les images des collections. [2019/1/30] Méthode de réparation La méthode de réparation du fabricant du portefeuille Web est que chaque fois que l'utilisateur déverrouille le portefeuille, le portefeuille Web sera toujours redirigé vers la page d'accueil personnelle, afin de ne donner aucune chance à l'attaquant d'insérer des éléments malveillants. code. ②Cas 2 : Vulnérabilité XSS reflétée dans un portefeuille Web hébergé La deuxième étude de cas concerne une vulnérabilité XSS reflétée dans un portefeuille Web hébergé. Les portefeuilles Web hébergés sont des serveurs qui gèrent toutes les clés privées. Pour se connecter à l'application portefeuille, l'utilisateur reçoit un mot de passe à usage unique par e-mail. Dans ce cas, le portefeuille prend en charge 16 devises différentes, possède toutes les fonctions de base du portefeuille et une fonction supplémentaire appelée "twittergiving". Fonctionnement de l'API Le format d'URL de l'API est similaire à "/API/{endpoint}", par exemple, l'API pour obtenir les informations de transaction de l'utilisateur est "/apiUser/cloudTrans". Si vous accédez à un point de terminaison d'API inexistant, tel que "/api/test", le serveur renverra une page avec un message d'erreur, comme illustré dans la figure ci-dessous "Impossible d'analyser la requête". De plus, nous avons constaté que le contenu du lien apparaissait dans la page renvoyée par le serveur. Le premier BM d'IMEOS a déclaré que les contrats EOS avaient une protection contre les débordements entiers : selon IMEOS, un média coopératif de Jinse Finance, l'ETH a récemment rencontré plusieurs erreurs de débordement de traitement de contrat intelligent ERC20, et BM a commenté sur Twitter : le nouveau bogue du contrat ETH peut détruire l'ensemble Token C'est pourquoi le code ne peut pas devenir loi, et cela signifie que le contrat EOS erc n'est pas vulnérable à ce type d'attaque. Certaines personnes du groupe officiel EOS ont également exprimé leur inquiétude quant à savoir si EOS dispose d'une protection contre le débordement d'entier ? Réponse de BM : Il existe de nombreuses classes de modèles C++ qui encapsulent des types et vérifient le débordement. [2018/4/25] Ceci représente un signal : si l'entrée de l'utilisateur n'est pas traitée ou encodée en arrière-plan, elle peut être attaquée par Reflected XSS. alert(document.domain) Ajoutez le contenu suivant après la requête API de ce portefeuille : <svg+onload=alert(document.domain)>" L'application ouvrira une fenêtre. Il s'agit d'un portefeuille Web hébergé, clé privée Il est géré par le serveur, il est donc impossible de voler directement les informations de l'utilisateur comme dans le premier cas. Dans ce cas, notre plan est d'essayer d'utiliser cette vulnérabilité pour détourner les comptes des utilisateurs. Cookie Une fois que l'utilisateur s'est connecté, son jeton de session est stocké dans le cookie "PHPSESSID", et la particularité de ce portefeuille est que le jeton n'a pas "HttpOnly". Si le cookie est défini sur HttpOnly, le navigateur empêchera JavaScript d'accéder au cookie. En d'autres termes, il peut empêcher les attaquants de cross-site scripting (XSS) ) pour voler le jeton de session dans le cookie. Obtenir le jeton de session Puisqu'il n'y a pas de HttpOnly dans le jeton de session dans ce cas, vous pouvez lire le contenu du cookie et l'envoyer à votre propre serveur via une attaque de script intersite (XSS). Obtenir le jeton de session Après cela, il peut être utilisé pour se connecter au compte de la victime. Maintenant que vous avez le jeton de session, il est temps de faire une vague de pillage. Le but ultime de pirater le portefeuille consiste dans la plupart des cas à voler les fonds de l'utilisateur, mais il y a toujours un problème, car la vérification 2FA est également requise lors des transactions en devises.À ce stade, les pirates ne peuvent ni réinitialiser 2FA ni désactiver 2FA, donc l'attaquant doit trouver un moyen de contourner la vérification 2FA.Comme mentionné précédemment, ce portefeuille a une fonction de cadeau twitter: lorsque l'utilisateur entre dans cette interface de fonction, il lui demandera quel type de devise il souhaite donner, combien de devise donner et combien personnes à donner. À partir de cette capture d'écran, vous pouvez voir que l'utilisateur peut donner jusqu'à 2 bitcoins. Lorsque l'utilisateur définit Après s'être inscrit à l'événement cadeau, d'autres personnes doivent cliquer pour suivre, Aite 3 amis et republier ce tweet cadeau , tant que ces étapes sont terminées, vous pouvez aller recevoir le prix. Mais le problème est que cette fonction ne nécessite pas de 2FA ! Les attaquants peuvent passer Reflective XSS, voler la session de la victime, se connecter au compte de la victime, créer beaucoup d'activités de cadeaux, puis réclamez les récompenses vous-même. De cette façon, tout le solde du compte de la victime peut être retiré. Le fabricant code en HTML la sortie, ce qui résout la vulnérabilité XSS. Définissez également "HttpOnly" pour le cookie "PHPSESSID". contenant le jeton de session. De cette façon, même si l'application est attaquée par des scripts intersites, l'attaquant ne peut pas voler directement le jeton de session du compte. Le portefeuille de bureau est un système d'exploitation, des applications fonctionnant sous Windows et Linux

Tags：

Shiba coin