MGCToken錢包會丟幣?近期,一款名為MGCToken的“去中心化”數字資產錢包疑似跑路,大量使用者反映賬戶內資金被盜,目前網上關於MGC的微博、文章滿天飛,大多集中描述使用者被盜了多少幣,駭客把錢歸集到哪個地址,在這裡我們就不再贅述了。
本文我們僅從技術層面給大家簡單扒一扒 MGC Token 這個“去中心化”數字資產錢包應用是如何造成使用者“丟幣”的。
首先,我們來看一看MGC官網釋出的宣傳資訊:
在官宣文案中我們看到了諸如去中心化,多重加密的安全儲存技術,強大的防盜技術,最大化保證使用者數字資產安全等等關鍵詞。
但實際情況如何呢?
我們對MGC Token錢包應用的 APK 安裝包進行了逆向,發現它僅僅是封裝了 H5 頁面。關鍵的 host 資訊如下:
顯而易見,所謂的去中心化應用,業務核心程式碼卻執行在中心化的伺服器上,這跟去中心化根本沒有半毛錢關係。
我們再直接用瀏覽器執行一次整個錢包建立流程:
這一步,我們抓包得到了該 App 的圖片服務域名:lianjiedu.com
我們獲取了助記詞。見證奇蹟的時刻到了:
介面顯示,錢包私鑰是從中心化的服務端直接下發的!!!!!
這一步真是最騷的。 看到這裡,你還不知道你是怎麼丟幣的?
私鑰都是人家給你的,使用者存錢就等於給他打錢!
相當於他有一把你家的鑰匙,來去自由!
更厲害的是 ,敏感資料都是明文傳輸的,還 吹“多重加密的安全儲存技術,強大的防盜技術” ,emmmmmm ~~~
有了域名和host,我們還可以簡單追蹤一下背後團隊的蛛絲馬跡:
更多資訊,就交由受害使用者和執法機關去發掘,而不是我們應該去涉獵的了。
在區塊鏈的世界裡,私鑰意味著資產的絕對控制權。因此,選擇一個沒有惡意的錢包應用來為你生成私鑰和管理資產就顯得至關重要。
