WAL:慢雾：警惕 Web3 钱包 WalletConnect 钓鱼风险_ALL

WalletConnect 钓鱼风险介绍

2023 年 1 月 30 日，慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser +  WalletConnect 的场景下。

我们发现，部分 Web3 钱包在提供 WalletConnect 支持的时候，没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制，因此会在钱包的任意界面弹出签名请求。

当用户离开 DApp Browser 界面切换到钱包其他界面如示例中的 Wallet、Discover 等界面，由于钱包为了不影响用户体验和避免重复授权，此时 Wallet Connect 的连接是没有断开的，但是此时用户却可能因为恶意 DApp 突然发起的签名请求弹窗而误操作导致被钓鱼转移走资产。

慢雾：CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息，慢雾发推称，CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示，TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX，而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]

动态演示 GIF 如下图：

攻击者利用恶意 DApp 钓鱼网站引导用户使用 WalletConnect 与钓鱼页面连接后，然后定时不间断发送恶意的签名请求（如 eth_sign 这种盲签、授权签名、针对特殊智能合约协议的交易签名等，后面以 eth_sign 作为举例）。用户识别到 eth_sign 可能不安全拒绝签名后，由于 WalletConnect 采用 wss 的方式进行连接，如果用户没有及时关闭连接，钓鱼页面会不断的发起构造恶意的 eth_sign 签名弹窗请求，用户在使用钱包的时候有很大的可能会错误的点击签署按钮，导致用户的资产被盗。

慢雾：已冻结部分BitKeep黑客转移资金:12月26日消息，慢雾安全团队在社交媒体上发文表示，正在对 BitKeep 钱包进行深入调查，并已冻结部分黑客转移资金。[2022/12/26 22:08:58]

这个安全问题的核心是用户切换 DApp Browser 界面到其他界面后，是否应继续自动弹窗响应来自 DApp Browser 界面的请求，尤其是敏感操作请求。因为跨界面后盲目弹窗响应很容易导致用户的误操作。

这里面涉及到一个安全原则：WalletConnect 连接后，钱包在检测到用户切换 DApp Browser 界面到其他界面后，应该对来自 DApp Browser 的弹窗请求不进行处理。

另外需要注意的是，虽然移动端钱包 App + PC 浏览器的 WalletConnect 连接场景也存在同样的问题，但是用户在这种场景下或许不那么容易误操作。

WalletConnect 连接后界面切换的处理情况

慢雾安全团队抽取市面热门搜索和下载量比较大的 20 个 Crypto Wallet App 进行测试：

慢雾：Gate官方Twitter账户被盗用，谨慎互动:10月22日消息，安全团队慢雾发文称：加密平台Gate官方Twitter账户被盗用，谨慎互动。半小时前，攻击者利用该账户发文，诱导用户进入虚假网站连接钱包。此外，慢雾科技创始人余弦在社交媒体上发文表示：注意下，Gate官方推特应该是被黑了，发送了钓鱼信息，这个网址 g?te[.]com 是假的（之前谈过的 Punycode 字符有关的钓鱼域名），如果你去Claim会出现eth_sign这种签名钓鱼，可能导致ETH等相关资产被盗。[2022/10/22 16:35:14]

根据上表测试结果，我们发现：

1. 部分热门钱包 App 如 MetaMask、Enjin Wallet、Trust Wallet、SafePal Wallet 及 iToken Wallet 等，在 WalletConnect 连接后切换到其他界面时，会自动响应 DApp 的请求，并弹出签名窗口。

慢雾：Solana公链上发生大规模盗币，建议用户先将热钱包代币转移到硬件钱包或知名交易所:8月3日消息，据慢雾区情报，Solana公链上发生大规模盗币事件，大量用户在不知情的情况下被转移SOL和SPL代币，慢雾安全团队对此事件进行跟踪分析：

已知攻击者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻击仍在进行，从交易特征上看，攻击者在没有使用攻击合约的情况下，对账号进行签名转账，初步判断是私钥泄露。不少受害者反馈，他们使用过多种不同的钱包，以移动端钱包为主，我们推测可能问题出现在软件供应链上。在新证据被发现前，我们建议用户先将热钱包代币转移到硬件钱包或知名交易所等相对安全的位置，等待事件分析结果。[2022/8/3 2:55:22]

2. 大部分测试的钱包 App 在切换界面后，对 DApp 的请求不会做出响应，也不会弹出提示窗口。

动态 | 慢雾：9 月共发生 12 起较典型的安全事件，供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件，包括：EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外，慢雾区块链威胁情报(BTI)系统监测发现，针对区块链生态的供应链攻击越来越多，形如：去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击，还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入，进行实施盗币攻击。[2019/10/1]

3. 少数钱包 App 在测试环境下无法使用 WalletConnect 与 DApp 连接，如 Coinbase Wallet 和 MEW Crypto Wallet 等。钱包的 DApp 中不是很适配  WalletConnect 接口。

4. 部分钱包 App 如 Exodus Wallet 和 Edge Wallet 在连接测试环境下未找到相关的 DApp 进行测试，无法判断其切换界面后的响应情况。

慢雾安全团队最初在 Trust Wallet 上发现这个问题，并通过 Bugcrowd 漏洞提交平台向他们提交了这个问题，我们获得了 Trust Wallet 的感谢，他们表示将在下一个版本修复这个安全风险。

特别的是，如果钱包对 eth_sign 这种低级签名函数（盲签）没有任何风险提醒，eth_sign 这是一种非常危险的低级签名，大大加剧了 WalletConnect 这个问题钓鱼的风险。

不过如果只是禁用了 eth_sign 也不是完全没有风险（本文仅是拿 eth_sign 举例说明），我们还是呼吁更多的钱包开始禁用它。以用户数量最多的 MetaMask 钱包为例，其插件端已经在 2023 年 2 月 10 号发布的 V10.25.0 版本默认禁用 eth_sign，而移动端也在 2023 年 3 月 1 号发布的版本号为 6.11 开始默认不支持 eth_sign，用户需要到设置里手动打开才能使用它。

（Refer: https://github.com/MetaMask/metamask-extension/pull/17308）

（Refer: https://github.com/MetaMask/metamask-mobile/pull/5848）

不过值得一提的是，MetaMask 6.11 版本之后添加了对 DApp 进行 URI 请求的校验，但是这个校验在 DApp 使用 WalletConnect 进行交互的时候，同样会进行弹窗警告，不过这个警告存在被无限制弹窗导致 DoS 的风险。

总结与建议

对个人用户来说，风险主要在 “域名、签名” 两个核心点，WalletConnect 这种钓鱼方式早已被很多恶意网站用于钓鱼攻击，使用时务必保持高度警惕。

对钱包项目方来说，首先是需要进行全面的安全审计，重点提升用户交互安全部分，加强所见即所签机制，减少用户被钓鱼风险，如：

钓鱼网站提醒：通过生态或者社区的力量汇聚各类钓鱼网站，并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。

签名的识别和提醒：识别并提醒 eth_sign、personal_sign、signTypedData 这类签名的请求，并重点提醒 eth_sign 盲签的风险。

所见即所签：钱包中可以对合约调用进行详尽解析机制，避免 Approve 钓鱼，让用户知道 DApp 交易构造时的详细内容。

预执行机制：通过交易预执行机制可以帮助用户了解到交易广播执行后的效果，有助于用户对交易执行进行预判。

尾号相同的提醒：在展示地址的时候醒目的提醒用户检查完整的目标地址，避免尾号相同的问题。设置白名单地址机制，用户可以将常用的地址加入到白名单中，避免类似尾号相同的攻击。

在交易显示上，可以增加对小额或者无价值代币交易的隐藏功能，避免尾号钓鱼。

AML 合规提醒：在转账的时候通过 AML 机制提醒用户转账的目标地址是否会触发 AML 的规则。

请持续关注慢雾安全团队，更多的钓鱼安全风险分析与告警正在路上。

慢雾科技作为一家行业领先的区块链安全公司，在安全审计方面深耕多年，安全审计不仅让用户安心，更是降低攻击发生的手段之一。其次，各家机构由于数据孤岛，难以关联识别出跨机构的团伙，给反工作带来巨大挑战。而作为项目方，及时拉黑阻断恶意地址的资金转移也是重中之重。MistTrack 反追踪系统积累了 2 亿多个地址标签，能够识别全球主流交易平台的各类钱包地址，包含 1 千多个地址实体、超 10 万个威胁情报数据和超 9 千万个风险地址，如有需要可联系我们接入 API。最后希望各方共同努力，一起让区块链生态更美好。

慢雾科技

个人专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签：WALWALLWALLETALLmathwallet麦子钱包下载Wallet VPNtrustwallet官网下载METAALLBI价格

FTX热门资讯