------转自WooKey Wallet(https://mp.weixin.qq.com/s/sqfvIaI5c83QRuHMoAkJ4Q)
今天,一款名为 MGC Token 的“去中心化”数字资产钱包疑似跑路,大量用户反映账户内资金被盗。
目前网上关于MGC的微博、文章满天飞,大多集中描述用户被盗了多少币,黑客把钱归集到哪个地址,在这里我们就不再赘述了。
本文我们仅从技术层面给大家简单扒一扒 MGC Token 这个“去中心化”数字资产钱包应用是如何造成用户“丢币”的。
首先,我们来看一看 MGC 官网发布的宣传信息:
在官宣文案中我们看到了诸如去中心化,多重加密的安全储存技术,强大的防盗技术,最大化保证用户数字资产安全等等关键词。
但实际情况如何呢?
我们对 MGC Token 钱包应用的 APK 安装包进行了逆向,发现它仅仅是封装了 H5 页面。关键的 host 信息如下:
显而易见,所谓的去中心化应用,业务核心代码却运行在中心化的服务器上,这跟去中心化根本没有半毛钱关系。
我们再直接用浏览器执行一次整个钱包创建流程:
这一步,我们抓包得到了该 App 的图片服务域名:lianjiedu.com
我们获取了助记词。见证奇迹的时刻到了:
接口显示,钱包私钥是从中心化的服务端直接下发的!!!!!
这一步真是最骚的。 看到这里,你还不知道你 是 怎么丢币的?
私钥都是人家给你的,用户存钱就等于给他打钱!
相当于他有一把你家的钥匙,来去自由!
更厉害的是 ,敏感数据都是明文传输的,还 吹“多重加密的安全储存技术,强大的防盗技术” ,emmmmmm ~~~
有了域名和host,我们还可以简单追踪一下背后团队的蛛丝马迹:
更多信息,就交由受害用户和执法机关去发掘,而不是我们应该去涉猎的了。
在区块链的世界里,私钥意味着资产的绝对控制权。因此,选择一个没有恶意的钱包应用来为你生成私钥和管理资产就显得至关重要。
