硬核丨加密钱包漏洞利用与分析

区块链技术的迅速发展，使得加密资产逐渐成为大众的投资方式之一。全球加密资产规模的高速增长使得钱包成为每一个加密资产拥有者不可或缺的资产管理工具。

加密领域里，数字钱包和资金息息相关，越来越多的人意识到了数字钱包安全的至关重要性。

被称为“全球黑客的狂欢 Party”的第 28 届 DEF CON 大会已于近日圆满落幕。

2020 年 8 月 9 日，CertiK 的安全工程师王沛宇（Peiyu Wang）与何敏之（Minzhi He）在 DEF CON 区块链安全大会上发表了演讲主题为：Exploit Insecure Crypto Wallet （加密钱包漏洞利用与分析）的主题报告。

本文即将带你回顾 CertiK 的安全工程师对加密钱包安全的见解。

加密钱包是一种存储私钥和 / 或公钥的设备、程序或服务。因为加密货币是虚拟的，所以加密钱包不能用来存放现实中的钱币。但当我们进行交易时，加密钱包可以使用用户的私钥来为交易签名，并在区块链上进行广播。

加密钱包有不同的种类，比如软件钱包和硬件钱包。本次演讲将重点关注网页钱包和桌面钱包。

演讲直播回顾：加密钱包介绍

网页钱包

这是一个典型的网页钱包界面，它就是我们 CertiK 的 Deepwallet 钱包。用户可以在这个界面中看到账户余额以及发送货币的选项，因为这是一个基于 COSMOS 的钱包，所以具有委托功能。

当谈论到网页应用安全问题时，我们最先想到的就是“开放式 Web 应用程序安全项目（OWASP）”的十大安全漏洞。

以下是 CertiK 安全工程师调查的 27 款网页钱包中“OWASP Top 10”的十大安全漏洞的一些统计数据。CertiK 安全工程师在 3 款钱包中发现了跨站脚本攻击（XSS），在此选取 2 例进行案例研究。

我们在一个去中心化钱包里发现了一个 SqI 注入漏洞。但是它的数据库只包含了交易数据，由于区块链中的交易数据已经公开，利用 Sql 注入来偷取数据并没有什么意义。由于也没有办法利用 SqI 注入实现后台代码执行，在这种情况下，这个 SqI 注入攻击是没有多少实际影响的。

此外，这个去中心化钱包内的某个 API 的访问权限存在漏洞，未经授权的用户可以篡改其他人的 2FA 设置，但是没办法利用这个漏洞去盗取别人的账户里面的资产。

有很多网页钱包都缺少安全标头 (header)，例如 Content Security Policy (CSP) 和“X-Frame-Options”的标头，这会使得钱包容易遭到点击劫持（Clickjacking）攻击。

一些钱包还在用早已过时的 JavaScript 库和存在 CVE 的 Nginx/Apache 服务器，这些漏洞同样无法直接被利用。

CertiK 安全工程师暂未发现任何处理 XML 格式数据的钱包，也没有发现有钱包进行了任何反序列化操作，所以没有发现 XXE 以及反序列相关的漏洞。关于日志和监控方面，也暂时没有更多信息。

1

案例一：去中心化网页钱包的 DOM XSS 漏洞

这是一个去中心化的网页钱包的 DOM XSS 漏洞案例。这个钱包支持单一协议，并拥有网页钱包的所有基本功能。

• 存在漏洞的功能

此应用程序会保存上次的访问位置：用户用密码解锁钱包后，会重新跳转到解锁之前的页面，下图是实现此功能的代码。如果你有测试网页应用程序的经验，就知道这种情况很有可能存在 DOM XSS 漏洞，本案例就是如此。

• DOM XSS

DOM XSS 需要 Source 和 Sink。Source 是应用程序收到非可信数据（用户输入）的位置，然后会将其传递给 Sink。当用户访问此链接时，“window.location.search” 将返回 "?returnTo=/validators"，然后“{returnTo}”会包含 "/validators"。

Sink 是处理来自 Source 的非可信数据的地方，因此 Sink 在这里是：“window.location.href”，如果用户输入“returnTo=/validators”。钱包返回到“/validators”， 即转到验证者页面。如果输入“returnTo=javascript:alert(1)”，将在浏览器中弹出 alert 窗口。

• Keystore 和 Password

这个钱包属于去中心化的网页钱包。用户创建帐户或导入帐户后，Keystore 和 Password 都存储在本地存储中。

• 使用 JavaScript 读取本地存储

JavaScript 能够读取本地存储中的信息。在本案例中，键值数据显示为存储在本地存储中的“Hello World”。JavaScript 就可以执行 LocalStorage.getItem （“Hello”）获取“World”。

• 利用 DOM XSS

那如何利用所发现的 DOM XSS 漏洞来窃取本地存储中的 Keystore 和 Password 呢？

在下面的这个 URL 中，它可以读取 Keystore 和 Password 的内容，并将其发送到黑客的服务器。在黑客的服务器日志中，可以直接看到 Keystore 内容和 Password。一旦掌握了这些信息，就相当于控制了用户的账户，可以登录到他们的钱包并将钱转出。

• 修复方法

该网页钱包厂商的修复方法为，每当用户解锁钱包，网页钱包总会重定向到个人主页，从而不给攻击者任何插入恶意代码的机会。

2

案例二：托管网页钱包中的反射型 XSS 漏洞

第二个案例研究是关于某个托管网页钱包中的反射型 XSS 漏洞。托管网页钱包是由服务器管理所有私钥。如果要登录钱包应用，用户要通过电子邮件接收一次性密码。此案例中的钱包支持 16 种不同货币，具备所有钱包的基础功能以及一个附加功能，称作“推特赠送”。

• API 操作

API 的 URL 格式类似于“/API/{endpoint}”，例如获取用户交易信息的 API 即为“/apiUser/cloudTrans”。

如果访问一个不存在的 API 端点，如“/api/test”，服务器将返回带有错误消息的页面，如下图“无法解析请求”。此外，我们发现链接中的内容出现在了服务器返回的页面中。

这代表着一个信号：如果后台不对用户输入进行任何处理或编码，就有可能遭到反射型跨站点脚本 (Reflected XSS) 攻击。

• alert ( d ocument . d omain)

在此钱包的 API 请求后面加上以下内容：)>”

应用程序会弹出窗口。这是一个托管的的网页钱包，私钥归服务器管理，因此无法像第一个案例那样直接窃取用户信息。在这个案例中，我们的计划是尝试利用这个漏洞来劫持用户账户。

• Cookie

用户登录后，其会话令牌存储在“PHPSESSID”cookie 中，而这个钱包的特殊之处在于这个令牌并没有“HttpOnly”。如果 Cookie 设置了 HttpOnly，浏览器将阻止 JavaScript 访问这个 cookie。换句话说，它可以抵御攻击者通过跨站点脚本攻击 (XSS) 窃取 cookie 中的会话令牌。

• 获取会话令牌

由于本案例的会话令牌中没有 HttpOnly，所以可以通过跨站脚本攻击（XSS），读取 cookie 内容并且发送到自己的服务器。获取会话令牌后，就可以用它来登录受害者的帐户。既然有了会话令牌，就是时候来一波洗劫一空了。

入侵钱包的最终目标大部分情况下是窃取用户资金，但还存在一个问题，因为在进行货币交易时还需要 2FA 验证。在这一点上，黑客既不能重置 2FA，也不能禁用 2FA，因此，攻击者需要想办法绕过 2FA 验证。

• 绕过 2FA 验证

前面提到，这个钱包有一个推特赠送功能：当用户进入此功能界面时，它会询问用户想要赠送什么类型的货币、赠送多少货币以及赠送多少人。

通过这个截图可以看到，用户最多可以赠送 2 个比特币。

当用户设置好了赠送活动，其他人需要先点击关注，艾特 3 个朋友并转发此赠送推文，只要完成这些步骤，就可以去领奖了。

但问题就出在这个功能不需要 2FA！攻击者可以通过反射型 XSS，盗取受害者会话，登录受害者账户，创建很多赠送活动，然后自己去申领奖励。这样就可以把受害者的账户余额全部取出。

• 修复 方法

厂商对输出进行 HTML 编码，这样解决了 XSS 漏洞。同时为含有会话令牌的“PHPSESSID”Cookie 设置“HttpOnly”。

这样一来，即便应用程序受到跨站点脚本攻击，攻击者也无法直接窃取账户的会话令牌。

桌面钱包

桌面钱包是一种在苹果操作系统、Windows 和 Linux 上运行的应用程序。桌面钱包都使用了什么框架呢？

CertiK 安全工程师研究了 18 款桌面钱包，其中 QT （C++）、Dot Net （C#），Java 各一个，其余 15 个使用了 Electron 框架。这部分的案例研究将探讨 Dot Net 桌面钱包的服务器远程代码执行漏洞，以及 Electron 钱包的客户端远程代码执行漏洞。

1

案例一：Dot Net 桌面钱包的服务器远程代码执行漏洞

下文分析在桌面钱包中发现的一个远程代码执行漏洞。

首先介绍一下背景：这个钱包是一个去中心化的单一协议钱包，用 C#语言编写，使用了 Dot Net 框架。它包含许多常见的钱包功能，如帐户管理、交易转账和部署 / 调用智能合约等。

比较有趣的是，它还允许用户上传文件到服务器。这功能在钱包中并不常见，所以我们决定进一步研究这个功能。如前所述，这个钱包是基于 Dot Net 的，如果没有对代码进行混淆，就很容易通过反编译来获取源代码。此案例钱包正是这种情况，因此我们能够恢复其源代码来进行进一步的分析。

• 静态源码分析

在对可执行文件进行反编译之后，我们找到了实现文件上传的源代码，如下面的代码片段所示。

钱包向服务器发送一个 HTTP POST 请求并返回文件上传 URL，“upload.php”是服务器上的处理文件上传的代码。现在我们知道服务器后台使用了 PHP，因此，如果可以上传一个 PHP Webshell 到服务器并在浏览器中打开它，我们可能就能够在服务器上远程执行代码。

• 文件上传

在成功地用钱包上传了一个 PHP webshell 文件之后，CertiK 安全工程师尝试着在浏览器访问上传的文件。成功的访问了上传的 Webshell, 并能在 Webshell 中执行命令。

我们同时发现该钱包的服务器是在“administrator”用户下运行的，因此能够以“administrator”权限执行命令。在这种情况下攻击者能够完全地控制这台服务器，并且能够操纵其他用户上传的文件。但是，由于这是一个去中心化的钱包，服务器不会存储任何用户私钥，所以此漏洞无法被利用来直接危害用户帐户。

• 修复方法

修复是非常简单的，开发人员直接删除了文件上传功能，这样就不必再担心这个安全问题了。这是一个很好的办法，因为加密钱包应该尽可能地保持功能上的简洁，以此来避免安全问题。接下来，再来谈谈 Electron 钱包的安全问题。

2

案例二：桌面钱包客户端远程代码执行漏洞

Electron 是什么？为什么要用 Electron？

Electron 是一个开源软件框架，它让开发人员能够使用 HTML、CSS 和 JavaScrip 来构建跨平台的桌面应用程序。

使用 Electron 的好处是开发人员可以重复利用网页应用程序代码来构建桌面应用程序，也就是说不需要找另外的代码库，也不需要学习新的编程语言。

在调试 Electron 应用程序时，使用谷歌浏览器的 DevTools 会非常容易。Electron 应用程序可直接在操作系统上运行，因为它可以访问 Node.js 模块，所以也就可以构建比网页应用程序更强大的桌面应用程序。

今年六月，CertiK 安全团队在 Symbol 桌面钱包中发现了一个远程执行代码漏洞，并将该漏洞提交到了 Symbol 漏洞赏金计划。Symbol 对 CertiK 提交的报告非常重视，即刻采取了安全解决措施，并及时更新了代码。目前该问题已在 v0.9.11 版本中得到修复。详情请点击【Electron-based 桌面钱包远程代码执行漏洞分析】。

总结

无论是由内部安全团队还是第三方公司执行安全审计和渗透测试，对于确保系统的安全性都是至关重要的。专业的安全人员会试图从“恶意黑客”的角度来破坏系统，帮助在真正的黑客利用漏洞之前识别和补救漏洞。