OIN:慢雾：警惕 Web3 钱包 WalletConnect 钓鱼风险_itgoldcoins

WalletConnect钓鱼风险介绍

2023年1月30日，慢雾安全团队发现Web3钱包上关于WalletConnect使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包App内置的DAppBrowser+?WalletConnect的场景下。

我们发现，部分Web3钱包在提供WalletConnect支持的时候，没有对WalletConnect的交易弹窗要在哪个区域弹出进行限制，因此会在钱包的任意界面弹出签名请求。

当用户离开DAppBrowser界面切换到钱包其他界面如示例中的Wallet、Discover等界面，由于钱包为了不影响用户体验和避免重复授权，此时WalletConnect的连接是没有断开的，但是此时用户却可能因为恶意DApp突然发起的签名请求弹窗而误操作导致被钓鱼转移走资产。

慢雾：JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方:8月4日消息，慢雾MistTrack监测显示，JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方。[2023/8/4 16:18:46]

动态演示GIF如下图：

攻击者利用恶意DApp钓鱼网站引导用户使用WalletConnect与钓鱼页面连接后，然后定时不间断发送恶意的签名请求。用户识别到eth_sign可能不安全拒绝签名后，由于WalletConnect采用wss的方式进行连接，如果用户没有及时关闭连接，钓鱼页面会不断的发起构造恶意的eth_sign签名弹窗请求，用户在使用钱包的时候有很大的可能会错误的点击签署按钮，导致用户的资产被盗。

慢雾：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息，2022年01月18日，一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

这个安全问题的核心是用户切换DAppBrowser界面到其他界面后，是否应继续自动弹窗响应来自DAppBrowser界面的请求，尤其是敏感操作请求。因为跨界面后盲目弹窗响应很容易导致用户的误操作。

这里面涉及到一个安全原则：WalletConnect连接后，钱包在检测到用户切换DAppBrowser界面到其他界面后，应该对来自DAppBrowser的弹窗请求不进行处理。

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

另外需要注意的是，虽然移动端钱包App+PC浏览器的WalletConnect连接场景也存在同样的问题，但是用户在这种场景下或许不那么容易误操作。

分析 | 慢雾：攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析，从DragonEx公布的“攻击者地址”的分析来看，20 个币种都被盗取（但还有一些DragonEx可交易的知名币种并没被公布），从链上行为来看攻击这些币种的攻击手法并不完全相同，攻击持续的时间至少有1天，但能造成这种大面积盗取结果的，至少可以推论出：攻击者拿下了DragonEx尽可能多的权限，更多细节请留意后续披露。[2019/3/26]

WalletConnect连接后界面切换的处理情况

慢雾安全团队抽取市面热门搜索和下载量比较大的20个CryptoWalletApp进行测试：

根据上表测试结果，我们发现：

1.部分热门钱包App如MetaMask、EnjinWallet、TrustWallet、SafePalWallet及iTokenWallet等，在WalletConnect连接后切换到其他界面时，会自动响应DApp的请求，并弹出签名窗口。

声音 | 慢雾：ETC 51%双花攻击所得的所有ETC已归还完毕:据慢雾区消息，ETC 51%攻击后续：继Gate.io宣称攻击者归还了价值10万美金的ETC后，另一家被成功攻击的交易所Yobit近日也宣称收到了攻击者归还的122735 枚 ETC。根据慢雾威胁情报系统的深度关联分析发现：攻击者于UTC时间2019年1月10日11点多完成了攻击所获的所有ETC的归还工作，至此，持续近一周的 ETC 51% 阴云已散。[2019/1/16]

2.大部分测试的钱包App在切换界面后，对DApp的请求不会做出响应，也不会弹出提示窗口。

3.少数钱包App在测试环境下无法使用WalletConnect与DApp连接，如CoinbaseWallet和MEWCryptoWallet等。钱包的DApp中不是很适配?WalletConnect接口。

4.部分钱包App如ExodusWallet和EdgeWallet在连接测试环境下未找到相关的DApp进行测试，无法判断其切换界面后的响应情况。

WalletConnect钓鱼风险的发现和后续

慢雾安全团队最初在TrustWallet上发现这个问题，并通过Bugcrowd漏洞提交平台向他们提交了这个问题，我们获得了TrustWallet的感谢，他们表示将在下一个版本修复这个安全风险。

特别的是，如果钱包对eth_sign这种低级签名函数没有任何风险提醒，eth_sign这是一种非常危险的低级签名，大大加剧了WalletConnect这个问题钓鱼的风险。

不过如果只是禁用了eth_sign也不是完全没有风险，我们还是呼吁更多的钱包开始禁用它。以用户数量最多的MetaMask钱包为例，其插件端已经在2023年2月10号发布的V10.25.0版本默认禁用eth_sign，而移动端也在2023年3月1号发布的版本号为6.11开始默认不支持eth_sign，用户需要到设置里手动打开才能使用它。

不过值得一提的是，MetaMask6.11版本之后添加了对DApp进行URI请求的校验，但是这个校验在DApp使用WalletConnect进行交互的时候，同样会进行弹窗警告，不过这个警告存在被无限制弹窗导致DoS的风险。

总结与建议

对个人用户来说，风险主要在“域名、签名”两个核心点，WalletConnect这种钓鱼方式早已被很多恶意网站用于钓鱼攻击，使用时务必保持高度警惕。

对钱包项目方来说，首先是需要进行全面的安全审计，重点提升用户交互安全部分，加强所见即所签机制，减少用户被钓鱼风险，如：

钓鱼网站提醒：通过生态或者社区的力量汇聚各类钓鱼网站，并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。

签名的识别和提醒：识别并提醒eth_sign、personal_sign、signTypedData这类签名的请求，并重点提醒eth_sign盲签的风险。

所见即所签：钱包中可以对合约调用进行详尽解析机制，避免Approve钓鱼，让用户知道DApp交易构造时的详细内容。

预执行机制：通过交易预执行机制可以帮助用户了解到交易广播执行后的效果，有助于用户对交易执行进行预判。

尾号相同的提醒：在展示地址的时候醒目的提醒用户检查完整的目标地址，避免尾号相同的问题。设置白名单地址机制，用户可以将常用的地址加入到白名单中，避免类似尾号相同的攻击。

在交易显示上，可以增加对小额或者无价值代币交易的隐藏功能，避免尾号钓鱼。

AML合规提醒：在转账的时候通过AML机制提醒用户转账的目标地址是否会触发AML的规则。

请持续关注慢雾安全团队，更多的钓鱼安全风险分析与告警正在路上。

慢雾科技作为一家行业领先的区块链安全公司，在安全审计方面深耕多年，安全审计不仅让用户安心，更是降低攻击发生的手段之一。其次，各家机构由于数据孤岛，难以关联识别出跨机构的团伙，给反工作带来巨大挑战。而作为项目方，及时拉黑阻断恶意地址的资金转移也是重中之重。MistTrack反追踪系统积累了2亿多个地址标签，能够识别全球主流交易平台的各类钱包地址，包含1千多个地址实体、超10万个威胁情报数据和超9千万个风险地址，如有需要可联系我们接入API。最后希望各方共同努力，一起让区块链生态更美好。

标签：OINCOINCOICOINSFoldingCoinCoiniclesUrals Coinitgoldcoins

TRX热门资讯