1. 首页
  2. 澳门银河在线娱乐平台

源码级深扒:KOLT领袖链,新一代校园链上通证?

你们认为的场景上链,真的这么容易吗。现场扒一个伪Dapps,看看背后是什么。

背景

2018区块链的元年,不同场景下的底层链将会率先被实现。而无论是单纯大而全技术铺路,还是去结合不同细分场景,移动Dapps应用一直是目前最火的入口。在应用内的用户行为,被赋予通证概念,例如手机挖矿等等。

随着这类玩法不断被大众接受并认可,市场上也出现了很多伪Dapps。因为不是分布记账模式,应用本身安全性都十分令人存疑。

开扒

本文章站在一位白帽子的角度,深扒一款最新上线的产品——KOLT领袖链,对应用本身商业模式和场景等均不发表意见,仅探讨应用安全层面。

在下载到官方发布的安装包开始,我们耗时仅不到3小时就完全破解并掌握了这款伪Dapps的源码和运行逻辑。并发现了比较严重的安全隐患。

第一步:首先我们从kolt.cc下载到官方上线的安装包

源码级深扒:KOLT领袖链,新一代校园链上通证?

第二步:为了明确开发者使用的技术选型,我这里选择直接上脱壳强解,先行获取配置文件。破解过程因为涉及到商业项目,我这里不做描述。因为中途思路有问题浪费了一些时间,本质上破解其实只要不到1小时就能收工。

第三步:直接看结果,非常意外,开发者以为打包APP就万事大吉,所有逻辑已经全部我们被解出。这里我放出部分文件做证明。

源码级深扒:KOLT领袖链,新一代校园链上通证?

源码级深扒:KOLT领袖链,新一代校园链上通证?

第四步:没有任何加密,您的身份证正反面,身份证号码,手持身份证照片在网上裸奔,想想都刺激。

源码级深扒:KOLT领袖链,新一代校园链上通证?

第五步:权限,一个不到10M的APP居然使用了读取用户通讯录,指纹,相机,定位,录音和读取录音文件等非常敏感的权限。

源码级深扒:KOLT领袖链,新一代校园链上通证?

第六步:上链须有其表,也不像白皮书所说的大学生涯上链,随机积分,加加减减而已,链在哪我是真的找不到。

源码级深扒:KOLT领袖链,新一代校园链上通证?

伪Dapps成本真低,用户数据没有防护,上链也是虚有其表。甚至于我们做起破解来都觉得毫无难度可言。

随后我们在搜索中,也发现了大量这类粗制滥造的产品。随着区块链的狂热,这样的伪Dapps已经遍地开花,有些用户还不少。之前的演示也证明,对其进行技术破解的成本是非常之低的。应用本身没有做任何用户隐私和源码级的防护处理,也希望大家保护好自己的钱包和个人隐私,谨慎防范。

后续

我已经向漏洞盒子提交这份漏洞报告,也希望厂商能够尽快修复。

熊市做事~~~

本文来自投稿,不代表银河国际娱乐平台立场,如若转载,请注明出处:(blackLAKE )

发表评论

登录后才能评论

联系我们

微信号:charlotte202

邮件:mm@monkeytex.com

工作时间:7 x 24小时

QR code