TAL:慢雾：Web3 假钱包第三方源调查分析_MARKO

By: 山 & 耀

背景

基于区块链技术的 Web3 正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处 Web3 世界中，钱包则是进入 Web3 世界的入口以及通行证。

当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包 “登录”；这与我们传统意义上的 “登录” 不同，在 Web2 世界中，每个应用之间的账户不全是互通的。但在 Web3 的世界中，所有应用都是统一使用钱包去进行 “登录”，我们可以看到 “登录” 钱包时显示的不是 “Login with Wallet”，取而代之的是 “Connect Wallet”。而钱包是你在 Web3 世界中的唯一通行证。

俗话说高楼之下必有阴影，在如此火热的 Web3 世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。

慢雾：Apple Store恶意钓鱼程序可模仿正常应用程序，盗取账号密码以绕过2FA:7月25日消息，慢雾首席信息安全官23pds发推提醒用户注意Apple ID出现的最新攻击案例，其中Apple Store出现恶意钓鱼程序，通过模仿正常应用程序盗取用户账号和密码，然后攻击者把自己的号码加入双重认证的信任号码，控制账号权限，用来绕过苹果的2FA。“加密货币用户务必注意，因为目前有不少用户、钱包的备份方案是iCloud备份，一旦被攻击，可能造成资产损失”。[2023/7/25 15:56:56]

在 Android 环境下，由于很多手机不支持 Google Play 或者因为网络问题，很多人会从其他途径下载 Google Play 的应用，比如：apkcombo、apkpure 等第三方下载站，这些站点往往标榜自己 App 是从 Google Play 镜像下载的，但是其真实安全性如何呢？

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

网站分析

鉴于下载途径众多，我们今天以 apkcombo 为例看看，apkcombo 是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？

我们先看下 apkcombo 的流量有多大：

慢雾：V神相关地址近日于Uniswap卖出3000枚以太坊:11月14日消息，据慢雾监测显示，以太坊创始人Vitalik Buterin地址（0xe692开头）近日在Uniswap V3上分三笔将3000枚以太坊（约400万美元）兑换成了USDC。[2022/11/14 13:03:22]

据数据统计站点 similarweb 统计，apkcombo 站点：

全球排名：1,809

国家排名：7,370

品类排名：168

我们可以看到它的影响力和流量都非常大。

它默认提供了一款 chrome APK 下载插件，我们发现这款插件的用户数达到了 10 W+：

那么回到我们关注的 Web3 领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？

慢雾：疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息，慢雾监测显示，疑似加密交易所Gemini相关地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在过去5小时内归集并转出逾20万枚ETH（超3亿美元）。[2022/7/19 2:22:08]

我们拿知名的 imToken 钱包为例，其 Google Play 的正规下载途径为：

https://play.google.com/store/apps/details?id=im.token.app

由于很多手机不支持 Google Play 或者因为网络问题，很多人会从这里下载 Google Play 的应用。

而 apkcombo 镜像站的下载路径为：

https://apkcombo.com/downloader/#package=im.token.app

慢雾：PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出，在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的，而这个地址，正是攻击者地址(0x187...65be)。由于合约未开源，无法查看更具体的逻辑，只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗，或者是其他原因，导致攻击者直接调用 mint 函数进行任意铸币。

此前报道，PAID Network今天0点左右遭到攻击，增发将近6000万枚PAID代币，按照当时的价格约为1.6亿美元，黑客从中获利2000ETH。[2021/3/6 18:21:08]

上图我们可以发现，apkcombo 提供的版本为 24.9.11，经由 imToken 确认后，这是一个并不存在的版本！证实这是目前市面上假 imToken 钱包最多的一个版本。

在编写本文时 imToken 钱包的最新版本为 2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。

如下图，我们在 apkcombo 上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的 Google Play 的下载量信息，安全起见，我们觉得有必要披露这个恶意 App 的来源，防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如：uptodown

下载地址：https://imtoken.br.uptodown.com/android

我们发现 uptodown 任意注册即可发布 App，这导致钓鱼的成本变得极低：

在之前我们已经分析过不少假钱包的案例，如：2021-11-24 我们披露：《慢雾：假钱包 App 已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。

我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图：

根据逆向 APK 代码和实际分析流量包发现，助记词发送方式：

看下图，最早的 “api.funnel.rocks” 证书出现在 2022-06-03，也就是攻击开始的大概时间：

俗话说一图胜千言，最后我们画一个流程图：

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。

同时，如需使用钱包，请务必认准以下主流钱包 App 官方网址：

请持续关注慢雾安全团队，更多 Web3 安全风险分析与告警正在路上。

致谢：感谢在溯源过程中 imToken 官方提供的验证支持。

由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。

慢雾科技

个人专栏

阅读更多

金色荐读

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

MarsBit

Arcane Labs

标签：NFTSTAARKTALMNFT币bitstamp交易平台正规吗MARKOPETAL币

TRX热门资讯