Author Topic: 严重BUG,可以任意操作别人帐号  (Read 16766 times)

0 Members and 1 Guest are viewing this topic.

Offline gghi

  • Hero Member
  • *****
  • Posts: 510
    • View Profile
  • BitShares: ttt888
为什么脑密钥是空的、我的会是多少?怎么查看脑密钥?
你账上还有钱,估计就说明没中招。。呵呵,开个玩笑。

如果发现自己账号公钥在下面这四个里,就赶紧改吧。

    "pub_key": "BTS7X84JxsPQBv9HKiBA2W6RSqcgPaRoWLTtfYCQ4yMy4DMrsASAk"
    "pub_key": "BTS7gfghfHDTCi5HVYTZ7fnzfA8v9ccqRJTSwvZbRjfhVtGoqRBRN"
    "pub_key": "BTS6ttNrvy4CXKmW36GxdXnyU2z1mprcKteUrqDTz1u9a7QSNaoR8"
    "pub_key": "BTS5iavugBUH517iRkzL54B53GtcieXzZ6zspiiwE3umrTFGXYwN6"


    谢谢,还好,没发现有上面的这四个。

Offline abit

  • Committee member
  • Hero Member
  • *
  • Posts: 4664
    • View Profile
    • Abit's Hive Blog
  • BitShares: abit
  • GitHub: abitmore
为什么脑密钥是空的、我的会是多少?怎么查看脑密钥?
你账上还有钱,估计就说明没中招。。呵呵,开个玩笑。

如果发现自己账号公钥在下面这四个里,就赶紧改吧。

    "pub_key": "BTS7X84JxsPQBv9HKiBA2W6RSqcgPaRoWLTtfYCQ4yMy4DMrsASAk"
    "pub_key": "BTS7gfghfHDTCi5HVYTZ7fnzfA8v9ccqRJTSwvZbRjfhVtGoqRBRN"
    "pub_key": "BTS6ttNrvy4CXKmW36GxdXnyU2z1mprcKteUrqDTz1u9a7QSNaoR8"
    "pub_key": "BTS5iavugBUH517iRkzL54B53GtcieXzZ6zspiiwE3umrTFGXYwN6"

BitShares committee member: abit
BitShares witness: in.abit

Offline gghi

  • Hero Member
  • *****
  • Posts: 510
    • View Profile
  • BitShares: ttt888
为什么脑密钥是空的、我的会是多少?怎么查看脑密钥?

Offline abit

  • Committee member
  • Hero Member
  • *
  • Posts: 4664
    • View Profile
    • Abit's Hive Blog
  • BitShares: abit
  • GitHub: abitmore
找到bug了。确实是空字符串的脑密钥。

目前链上一共还有11个账号受这个影响,账户剩余总金额大概 0.2 BTS 。

不排除有机器人发现已知key就自动改密码的可能,从而导致其他受影响的账号没有发现。
比如 jesus-coin 的key就已经被改了。
BitShares committee member: abit
BitShares witness: in.abit

Offline abit

  • Committee member
  • Hero Member
  • *
  • Posts: 4664
    • View Profile
    • Abit's Hive Blog
  • BitShares: abit
  • GitHub: abitmore
miguel-2902 这个账号的key是 "BTS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV" 。这个是一个公开的公钥,对应的私钥是写在bts代码里的。所以任何人都可以看到并且操作。

是的,您这么一说,我看了下重钱包工具里的设置文件,果然就是这个公钥,那么我想:之前那个jesus-coin的账号估计是谁在配置api节点时把公私钥配置进去了,所以它也成了公共账号,不知道分析的对不对?
jesus-coin 的情况不是很确定,感觉不太一样。麻烦下次碰到时再注意一下。
BitShares committee member: abit
BitShares witness: in.abit

Offline lucky

  • Jr. Member
  • **
  • Posts: 49
    • View Profile
miguel-2902 这个账号的key是 "BTS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV" 。这个是一个公开的公钥,对应的私钥是写在bts代码里的。所以任何人都可以看到并且操作。

是的,您这么一说,我看了下重钱包工具里的设置文件,果然就是这个公钥,那么我想:之前那个jesus-coin的账号估计是谁在配置api节点时把公私钥配置进去了,所以它也成了公共账号,不知道分析的对不对?

Offline abit

  • Committee member
  • Hero Member
  • *
  • Posts: 4664
    • View Profile
    • Abit's Hive Blog
  • BitShares: abit
  • GitHub: abitmore
miguel-2902 这个账号的key是 "BTS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV" 。这个是一个公开的公钥,对应的私钥是写在bts代码里的。所以任何人都可以看到并且操作。
BitShares committee member: abit
BitShares witness: in.abit

Offline lucky

  • Jr. Member
  • **
  • Posts: 49
    • View Profile
我刚刚也遇到了这个(耶稣)账号,而且可以查看到它的私钥,当你锁上钱包后就没有对它的控制权限了。在我删除钱包并重新导入钱包后,它消失了。令人费解。
下次看到这个私钥记得复制一下,或者截屏。我猜是因为他的脑密钥太简单了。
已将截图发给您,查看权限时脑钱包位置为Non-deterministic,我不懂如何找到bug出现的原因,但似乎新版本UI出现此漏洞频率挺高。

前几天出现的是jesus-coin这个账号,我记得当时这个账号的每个私钥都正常,资金和账户权限的私钥不同,当时删除钱包后就没再出现。这次出现的是miguel-2902这个账号,一下午重复删除并导入都出现这个账户。
做了几个实验,1,我有3个独立的钱包a、b、c,浏览器导入a钱包,出现陌生账户miguel-2902,重钱包导入a也出现了miguel-2902,重钱包导入b也出现miguel-2902,重钱包导入c,未出现。出现miguel-2902的钱包都有操作权限,可以查看私钥等一系列操作。
2,清除浏览器缓存、cookies,重钱包导入a、b、c都没出现其他账号,用浏览器导入a、b再次出现miguel-2902,c未出现。
4,将miguel-2902的资金权限里添加钱包e,权重1001(最大的一个),阀值1001,在出现miguel-2902的a和b对miguel-2902进行转账操作,交易成功,a、b都没有权限!
3,删除miguel-2902原来的私钥,替换为钱包e,清除浏览器记录,分别导入钱包abc,恢复正常,没再出现miguel-2902账户。
4,用e钱包将miguel-2902的私钥更改回去,浏览器导入a、b再次出现miguel-2902,但这会儿重钱包导入a、b没有出现miguel-2902。
可见用浏览器导入钱包发生此bug的几率大些,而且出现的陌生都是特定的某个钱包(或者是在末段时间内都是这个钱包),一旦出现幽灵钱包,你对幽灵钱包具有超级管理权限。
« Last Edit: January 28, 2018, 09:21:26 am by lucky »

Offline abit

  • Committee member
  • Hero Member
  • *
  • Posts: 4664
    • View Profile
    • Abit's Hive Blog
  • BitShares: abit
  • GitHub: abitmore
我刚刚也遇到了这个(耶稣)账号,而且可以查看到它的私钥,当你锁上钱包后就没有对它的控制权限了。在我删除钱包并重新导入钱包后,它消失了。令人费解。
下次看到这个私钥记得复制一下,或者截屏。我猜是因为他的脑密钥太简单了。
BitShares committee member: abit
BitShares witness: in.abit

Offline lucky

  • Jr. Member
  • **
  • Posts: 49
    • View Profile
我刚刚也遇到了这个(耶稣)账号,而且可以查看到它的私钥,当你锁上钱包后就没有对它的控制权限了。在我删除钱包并重新导入钱包后,它消失了。令人费解。
« Last Edit: January 27, 2018, 06:42:50 am by lucky »

Offline quicksnake


我看到之前的截图了((

要是能在这个状态下调试浏览器就好了…………看来还是只能尝试撞出来如何发生这种情况…………

是呀,我本来是想留下问题钱包的,但是出于安全考虑还是把它删除了

其实留下来给我技术人员调试一下浏览器应该可以看出来的。。。

Offline haruka


在这个帐号的 permission 里也能看到帐号对应的私钥?

如果有可能的话建议也签个消息,以便留档……这个确实有些诡异

以及,是在具体什么钱包上发生的?有没有一个固定的流程准确复现这个问题?因为实在太难看出来发生的原因了……

haruka 您好,我就是MylvAngel的朋友quicksnake,好巧啊
今天也是刚好遇到这个非常诡异的bug,我先来回答你的问题
我是在导入我手上的另一钱包的时候(网页导入双钱包)后,该账户出现在该钱包的首位。
我尝试用该账户转账到另一账户,测试成功,转出了1bridge. BCO,也即是说钱包开启了该账户的活跃密钥
进入permission,发现3公钥全在激活状态(蓝色),点进公钥中试图观察密钥,无法显示密钥(点击显示无反应)。之后试图删除活跃及账户公钥,并用openledger账户进行权限替换,无法保存修改(仍然点击无反应)。因此虽然拥有该账户的私钥权限(可转账,可看到备注信息),但无法更改permission。同时,刷新网页钱包后,重新用钱包密码解锁,打开的钱包中仍然有该账户,但备注信息变得不可见(变成未解锁形式)。
然后,通过删除该钱包,重新导入(仍然是双钱包),该账户消失。。。非常诡异。因为该账户最终消失,所以无法签名留档。。。
出现该情况的钱包,是因为在比特帝国上导入后,一直无法刷出交易界面,才到我们自己项目的钱包地址上导入双钱包的,然后就出现了该账户。但观察该账户之前记录,预计有大概5人(包括我)以上曾获得过权限,而且时间跨度很大,不一定是UI或者某网页钱包的问题。
由于过于诡异,我和我的技术人员也毫无头绪,希望各位社区大佬尽快一并发掘,避免不好的事情发生。

我看到之前的截图了((

要是能在这个状态下调试浏览器就好了…………看来还是只能尝试撞出来如何发生这种情况…………

Offline quicksnake

我也遇到了这个bug,然后导入钱包的时候也进了这个jesus-coin,是新UI的问题?

在这个帐号的 permission 里也能看到帐号对应的私钥?

如果有可能的话建议也签个消息,以便留档……这个确实有些诡异

以及,是在具体什么钱包上发生的?有没有一个固定的流程准确复现这个问题?因为实在太难看出来发生的原因了……

haruka 您好,我就是MylvAngel的朋友quicksnake,好巧啊
今天也是刚好遇到这个非常诡异的bug,我先来回答你的问题
我是在导入我手上的另一钱包的时候(网页导入双钱包)后,该账户出现在该钱包的首位。
我尝试用该账户转账到另一账户,测试成功,转出了1bridge. BCO,也即是说钱包开启了该账户的活跃密钥
进入permission,发现3公钥全在激活状态(蓝色),点进公钥中试图观察密钥,无法显示密钥(点击显示无反应)。之后试图删除活跃及账户公钥,并用openledger账户进行权限替换,无法保存修改(仍然点击无反应)。因此虽然拥有该账户的私钥权限(可转账,可看到备注信息),但无法更改permission。同时,刷新网页钱包后,重新用钱包密码解锁,打开的钱包中仍然有该账户,但备注信息变得不可见(变成未解锁形式)。
然后,通过删除该钱包,重新导入(仍然是双钱包),该账户消失。。。非常诡异。因为该账户最终消失,所以无法签名留档。。。
出现该情况的钱包,是因为在比特帝国上导入后,一直无法刷出交易界面,才到我们自己项目的钱包地址上导入双钱包的,然后就出现了该账户。但观察该账户之前记录,预计有大概5人(包括我)以上曾获得过权限,而且时间跨度很大,不一定是UI或者某网页钱包的问题。
由于过于诡异,我和我的技术人员也毫无头绪,希望各位社区大佬尽快一并发掘,避免不好的事情发生。

Offline haruka

我也遇到了这个bug,然后导入钱包的时候也进了这个jesus-coin,是新UI的问题?

在这个帐号的 permission 里也能看到帐号对应的私钥?

如果有可能的话建议也签个消息,以便留档……这个确实有些诡异

以及,是在具体什么钱包上发生的?有没有一个固定的流程准确复现这个问题?因为实在太难看出来发生的原因了……
« Last Edit: January 08, 2018, 06:24:11 pm by haruka »

Offline quicksnake

我也遇到了这个bug,然后导入钱包的时候也进了这个jesus-coin,是新UI的问题?