Blockchain.info是一個提供比特幣加密貨幣錢包以及比特幣區塊鏈數據查詢的綜合型服務。該服務于2011年8月開始，提供關于最新的比特幣交易信息、比特幣區塊鏈圖表中的開采區塊以及開發者的統計資料和資源等查詢功能。安全研究員Shashank在blockchain.info中發現了一個嚴重的漏洞，允許他能夠以微不足道的用戶交互方式竊取任何人的比特幣錢包備份文件。

研究人員表示，Blockchain.info的備份功能允許用戶創建了一個JSON文件，該文件是用戶帳戶的備份，可供用戶自己下載或將其快速存儲到Gdrive（谷歌云端硬盤）或Dropbox帳戶中。

如果這個JSON文件遭到盜竊，竊匪便可以輕松地在blockchain.info中導入它，并從用戶賬戶中拿走所有的資產。

Shashank說：“我注意到，一旦你點擊了存儲到Gdrive或Dropbox的按鈕，你將被要求登錄你的Gdrive或Dropbox帳戶。一旦授權，blockchain.info將自動存儲JSON文件到你的Gdrive或Dropbox中。”

進行Gdrive身份驗證時，會生成一個鏈接，但不包含任何CSRF令牌：

“https://blockchain.info/wallet/gdrive-update?code={YourGdriveToken}”

現在，如果攻擊者想要竊取任何人的JSON文件，他將執行以下操作：

1-在blockchain.info使用GDrive賬戶進行登錄；

2-獲得上述中不包含CSRF令牌的鏈接；

3-將自己的Gdrive令牌添加到鏈接中并發送給受害者；

“https://blockchain.info/wallet/gdrive-update?code={GoogledriveToken} ”

4-受害者點擊鏈接后，JSON文件將自動存儲到攻擊者的谷歌云端硬盤。