比特币安全吗？ 木马钱包盗币原理分析

2018年被公认为区块链的大年。 随着区块链经济价值的不断提升，促使不法分子使用各种攻击手段获取更多的敏感数据，例如“盗窃”、“勒索”、“挖矿”等，下面小编就对木马进行分析给你钱包偷币的原理。

近期，比特币安全问题频发。 我想找一个钱包来窃取比特币进行分析。 这时比特币开源代码网站，有网友smtp在彩云比特论坛发帖揭露了LTC木马钱包，并提供了LTC木马钱包样本。 我反了。 木马钱包的程序分析了从钱包中窃取LTC的原理，该窃取方法也可用于比特币等山寨币。

一、原理分析

这个LTC木马钱包窃取LTC的方式非常简单。 查看钱包收款地址时，隐藏了钱包的真实收款地址，显示的是黑客的LTC地址。 当向这个接收地址发送 LTC 时，发送的 LTC 自然会到达黑客的钱包中，永远不会到达这个钱包。

验证过程非常简单。 先安装LTC木马钱包，新建收款地址，然后卸载木马钱包，安装LTC官网钱包，查看收款地址。 两者显示的地址不同。 官网钱包显示的是真实地址，木马钱包显示的是黑客的LTC地址。

钱包中不存在黑客的LTC地址，导致私钥导出失败。 官网钱包显示的LTC地址存在，可以导出私钥。 可以通过命令 dumpprivkey 来验证。

2.钱包显示收款地址

LTC 的代码是开源的。 黑客下载LTC的代码，进行一些修改，重新编译代码，打包程序，放到网盘下载，盗取网友的LTC。

显示钱包的接收地址。 LTC和BTC的代码是一样的。 主要在列表中显示LTC地址。 木马钱包通过修改要在列表中显示的LTC地址字符串来隐藏真实地址。

显示LTC接收地址主要涉及2个模块：程序加载时显示接收地址，新建接收地址。 这里我们简单介绍一下如何在地址列表中显示地址。

钱包的接收地址存放在CWallet类的mapAddressBook中比特币开源代码网站，接收地址列表是AddressTablePriv类的QListcachedAddressTable控件。

3、代码被黑客修改

木马钱包修改AddressTablePriv类的refreshAddressTable和updateEntry函数，在显示和插入地址前修改显示的接收地址。

1.函数refreshAddressTable

在调用cachedAddressTable.append函数之前，添加修改显示地址的代码。

2.函数updateEntry

CT_NEW时，调用函数parent->beginInsertRows后，调用函数cachedAddressTable.insert前，添加修改显示地址的代码。

黑客一共有10个LTC地址，这10个地址会按照显示和插入地址的先后顺序依次显示。 当地址超过10个时，会循环显示。

木马钱包中定义了一个数组，指向这10个LTC地址。 木马钱包中定义了一个整型变量，标识地址索引，显示该索引指向的LTC地址，然后自增。 当它等于 10 时，它被重置为 0。

针对上述情况，可以对注册表进行一定程度的修改，使用一些第三方任务管理器停止任务，重启进入命令行模式手动​​清除木马，使用一些特殊的查杀手段。