第三方Dash网络钱包MyDashWallet妥协

上周晚些时候发现，独立开发的MyDashWallet被一名能够将用户的私钥发送到外部服务器的黑客攻击，但是一旦漏洞被发现，Dash Core Group成员就协助开发人员纠正了这个问题。

今天发现https://t.co/PozDtfUaf3在5月13日至7月12日之间遭到入侵。在此期间使用mydashwallet的任何人都应该假设他们的私钥被黑客知道并立即从该钱包中移出余额。详细信息：https://t.co/yKRopU0HgJ

– DASH（@Dashpay）2019年7月12日

由于它依赖于另一个代码库的最新版本而受到攻击，因此黑客攻击是可能的。出于谨慎的考虑，在2019年5月13日至2019年6月12日之间使用MyDashWallet的任何人都应该假设他们的私钥已经知道并立即转移资金。

“在2018年4月，MyDashWallet被修改为从脚本托管网站GreasyFork加载外部脚本。虽然没有异常，但这不被认为是安全的做法，特别是因为引用加载了最新版本的脚本，而不是特定版本。 2019年5月13日，一名黑客入侵了该剧本原作者Jixun Moe的GreasyFork帐户，并添加了将用户的私钥发送到外部服务器的代码。这一变化是在2019年7月12日检测到的，当时黑客使用私钥移动用户资金。 Dash Core Group不维护MyDashWallet，Dash网络本身也没有受到任何损害。“

正如在莱昂怀特的协助下，菲利普恩格尔霍恩在Dash论坛上发表的文章中说，“由于第三方对代码的审查不足，MyDashWallet实施的不安全编码实践未被发现超过一年”。在未来，他强调“所有处理私钥的代码都应该在被用户资金信任之前进行彻底审查”，并且“不应该使用本地密钥库文件来支持硬件钱包，类似于MyEtherWallet实施的最佳实践” 。

Dash Core Group如何警告用户并协助缓解这种情况

首先，Dash Core Group通过确保“（a）Dash Core Group发布的软件既是开源软件并在发布之前经过严格的质量测试”，有助于降低这些漏洞对其自身代码的风险。第三方漏洞是开源软件的风险，因为任何人都可以自由使用代码并实现自己的变体和应用程序。但是，开源软件的优势在于私人可以找到这些漏洞，而不是私有代码，这些漏洞可能会被泄露，但从未被人知道或被公开。

其次，Dash核心集团“正在协助开发商解决这个问题并收集相关信息以提供给执法部门”，据Dash论坛的Michael Seitz说。这是一个积极的信号，即使漏洞与他们或Dash区块链无关，他们仍然通过帮助解决出现的问题确保与Dash相关的应用和社区成员保持安全。这也是一个优势，据说第三方交易所和供应商喜欢整合Dash;他们将Dash Core Group作为有形的人，可以依靠并提出问题。

去中心化系统需要高度的用户意识

加密货币被创建为开源和去中心化，没有任何一个人或负责组。虽然这确实有助于网络的无权访问，但它也允许开发和使用第三方产品，有时无需进行适当的严格测试。任何用户都可以使用可靠且可靠的软件，但是他们也可能成为构造不良的服务甚至是直接诈骗或其他恶意应用程序的牺牲品。因此，寻求去中心化和使用加密货币相关利益的用户也应对与使用潜在未经测试的系统相关的风险承担全部责任，并采取额外的预防措施来保护其安全和资金。