交易所okcoin的創始人徐明星被帶走調查,在幣圈引起了不小轟動。徐明星持股的歐科雲鏈續跌14% ,OKEx交易所暫停提幣 。前幾年徐明星、李笑來等人可以說是幣圈非常具有爭議性的大佬級別人物。當時區塊鏈的ico被玩的熱火朝天,一夜暴富的美夢驅使一批又一批的人入了行,有些人連區塊鏈是什麼都沒搞明白就往裡面砸錢,悽慘離場是他們最終歸宿。
在幣圈被割維權的事時有發生,最後總是不了了之。徐明星最近被帶走,圈子的流言眾多。一個說法說是由於參與洗錢,涉案金額多,性質惡劣所以調查中。另外種說法就是okcoin上市的時候,大家都知道前進控股是港股,然後幫助弄資金的公司雷了。在這裡我們不談okcoin,也不談徐明星,只談區塊鏈。
區塊鏈擴展到黑灰行業的方方面面,其範圍之廣我們始料未及。最近通過腳本挖到一個叫一節公鏈最新的區塊鏈項目,上線沒幾天的時間。通過深度爬的數據,發現有人就開始對這個平臺出售腳本,並聲稱只要用了他們的腳本,每天就能賺這個平臺上百塊錢,他們賣的腳本幾千塊錢。黑灰經覺的這裡有問題,一個剛上線的app沒幾天就已經有人針對它的漏洞寫出腳本,作為技術型覺的有點不可思議。
為了一探究竟,便將它Android的apk包下載到模擬器上進行apktool反編譯,嗅探其漏洞。在這個apk的包文件中,要對classes.dex文件進行編譯才能看到smali代碼,修改裡面的關鍵代碼重新編譯。運行簽名工具,雖然可以安裝,但app運行異常。他們應該做了盜版檢測機制,這點倒是出乎意料。如此low的app還怕別人盜......。安卓的簽名生成的CERT.RSA文件是加密的,只要簽名不一致或者說私鑰和公鑰不對應就無法正常使用。最終花了不少時間從代碼文件中層層分析找到了讀取cert.rsa相關類,偽造真正的簽名。在smali文件中注入了代碼重新編譯,拿到了後臺登錄的賬號密碼,根據cookie拿下後臺的shell 。
這個項目是新上線的,後臺沒有數據,其中設置用戶id的功能,備註名稱是”一節腳本id”,看了一下代碼發現他們賣這個腳本其實是個幌子。為了驗證,便在後臺添加了一個賬號,登錄app在個人中心獲取註冊Id,複製到後臺,設置搶任務的機率是80%然後保存。十分鐘左右賬號上便有幾塊錢了。後臺已經自帶了這種功能,他們只不過借這個功能來賣腳本才是真正的意圖。這是一個刷視頻、閱讀等賺節幣兌換錢的臺子,當然,用戶在上面賺的代幣估計也提現不了,他們賣一段時間的腳本後再關閉app或者重新換名字編譯繼續搞。
結語:縱觀這個項目,雖已踩線,但這種項目模式也不簡單。他們通過自己開發的任務臺子,然後針對自己的臺子賣腳本,用戶很難發現賣腳本和任務臺子的是同一個人,其次他們也可以讓戶用測試,打消用戶購買前的顧慮。只要註冊了他們的任務臺子並提供id,賬號裡便源源不斷賺到做任務的錢。原本再打算在後臺中植入廣告提醒一下他們,但他們刪了後臺測試的id,打開app不再反應。估計是重新編譯了。對於這種項目模式,大家要謹慎,避免被坑。
