MyDashWallet在2个月内遭到入侵 – 用户,移动您的加密货币
MyDashWallet,一种声称是使用DASH加密的最快方式的服务,已经发现它的平台已经损害了整整两个月,现在正在敦促用户尽快转移他们的资金(如果他们还在那里)。
“黑客能够获得5月13日至7月12日期间使用的私钥,”Dash营销经理Michael Seitz在7月12日的Dash论坛帖子中写道。
受MyEtherWallet的启发,MyDashWallet充当了刚刚起步的山寨币DASH的在线钱包。该服务几乎完全基于JavaScript运行,允许用户在其Web浏览器中存储,发送和接收DASH。
“出于谨慎的考虑,任何在该时间段内使用mydashwallet.org的人都应该假设他们的私钥被黑客知道,并应立即从该钱包中移出任何余额,”他补充说。
不安全的编码实践未被发现超过一年
一位单独的Dash代表解释说,2018年4月对MyDashWallet进行了更改,看到它开始从第三方主机GreasyFork加载外部脚本。
据说黑客可以访问该脚本创建者的GreasyFork帐户以添加恶意代码。从那时起,该脚本自动将MyDashWallet用户的私钥发送到可能受攻击者控制的外部服务器。
MyDashWallet截图15/7
“这一变化是在2019年7月12日黑客使用私钥移动用户资金时发现的,”管理Dash文档和Wiki的Leon White澄清道。
丢失的DASH全部数量仍然未知
到目前为止,MyDashWallet用户在过去两个月内窃取的加密货币总量尚不清楚。可悲的是,一位MyDashWallet用户已声称已经向黑客丢失了143.84 DASH(17,597美元)。
据MyDashWallet称,那些将其服务与硬件钱包或“相关的tipbots”结合使用的人显然没有受到影响。该公司也不认为该漏洞扩展到其他第三方钱包。
为了避免将来出现这种情况,怀特警告说,在信任处理用户资金之前,所有处理DASH私钥的代码都应该“彻底审查”。
White还敦促服务部门不要使用本地密钥库来支持硬件钱包。
“黑客攻击本身只有两个月才被发现。由于第三方对代码的审查不足,MyDashWallet实施的不安全编码实践未被发现超过一年,“怀特说。 “MyDashWallet不是由Dash Core Group维护的,Dash网络本身也没有受到任何损害。”
硬分叉已经联系MyDashWallet以了解有关攻击的全部范围的更多信息,如果我们收到回复,我们会更新这篇文章。