事件

截至发稿时为止，MyDashWallet网站上的挂马代码仍然存在，依然有效！为了达世币用户的资产安全起见，我们强烈建议目前不要使用MyDashWallet线上钱包！

分析

我们来看看greasyfork.org上的这段js代码： 

乍一看是个人畜无害的脚本，但是只要往下拉，就可以看到其庐山真面目： 窃取用户的达世币的各种信息，包括账户余额、账户私钥PrivateKey、Keystore、Seed等等等等！果然是：

小孩子才做选择题，大人全都要！

我们简单看下这个脚本，当检测到用户访问网站的主机名第6位字符开始的后5位为hwall(也就是匹配到mydashwallet.org)后，才触发窃取动作。

在窃取动作完成后，会将被窃信息以POST方式发送到https://api.dashcoinanalytics.com/stats.php

结合greasyfork.org上的脚本历史版本和代码差异比较，可知，黑客早在2019年5月13日就部署过恶意脚本。

再结合黑客用来搜集被窃信息所注册的域名 从whois信息可以看出该域名注册于2019年5月13日！

该域名的HTTPS证书有效期，从2019年5月14日开始生效！

结论

• 至少在5月13日之前，黑客就控制了MyDashWallet网站(mydashwallet.org)
• 5月13日租赁了窃密服务器，申请了域名和HTTPS证书
• 5月13日在greasyfork.org上提交了恶意脚本，并在之后不断进行更新
• 随后在mydashwallet.org上插入这个恶意脚本，然后就是姜太公钓鱼直到现在！

我们将上述分析告知用户后，用户随即在MyDashWallet的电报群中反馈了相关问题，但是却被管理员立即踢出了群组！ 目前，在我们发布相关事件预警后，DASH币官方暂未作出任何回应！