WEB:慢雾：Web3 假钱包第三方源调查分析_web3.0币龙头

By: 山 & 耀

背景

基于区块链技术的 Web3 正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处 Web3 世界中，钱包则是进入 Web3 世界的入口以及通行证。

当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包 “登录”；这与我们传统意义上的 “登录” 不同，在 Web2 世界中，每个应用之间的账户不全是互通的。但在 Web3 的世界中，所有应用都是统一使用钱包去进行 “登录”，我们可以看到 “登录” 钱包时显示的不是 “Login with Wallet”，取而代之的是 “Connect Wallet”。而钱包是你在 Web3 世界中的唯一通行证。

俗话说高楼之下必有阴影，在如此火热的 Web3 世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。

慢雾：过去一周Web3因安全事件损失约265万美元:7月17日消息，慢雾发推称，2023年7月10日至7月16日期间，Web3发生5起安全事件，总损失为265.5万美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

在 Android 环境下，由于很多手机不支持 Google Play 或者因为网络问题，很多人会从其他途径下载 Google Play 的应用，比如：apkcombo、apkpure 等第三方下载站，这些站点往往标榜自己 App 是从 Google Play 镜像下载的，但是其真实安全性如何呢？

网站分析

鉴于下载途径众多，我们今天以 apkcombo 为例看看，apkcombo 是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

我们先看下 apkcombo 的流量有多大：

据数据统计站点 similarweb 统计，apkcombo 站点：

慢雾：2021年上半年共发生78起区块链安全事件，总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计，2021年上半年，整个区块链生态共发生78起较为著名的安全事件，涉及DeFi安全50起、钱包安全2起，公链安全3起，交易所安全6起，其他安全相关17起，其中以太坊上27起，币安智能链(BSC)上22起，Polygon上2起，火币生态链(HECO)、波卡生态、EOS上各1起，总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现，约60%的资金被攻击者转入混币平台，约30%的资金被转入交易所。慢雾安全团队在此建议，用户应增强安全意识，提高警惕，选择经过安全审计的可靠项目参与；项目方应不断提升自身的安全系数，通过专业安全审计机构的审计后才上线，避免损失；各交易所应加大反监管力度，进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

全球排名：1,809

国家排名：7,370

品类排名：168

动态 | 慢雾：2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测：世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘，通过对其三个传播版本的行为分析，其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚，2019-09-01 0.03011781 枚，且 2019 年仅发生一次，另外一个 2020 还在活跃，2020 开始已经勒索收到 8 笔比特币支付，但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12，总收益比特币 54.43334953 枚。虽然收益很少，但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫，其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞，其成功的全球影响力且匿名性为之后的一系列勒索蠕虫（如 GandCrab）带来了巨大促进。[2020/2/23]

我们可以看到它的影响力和流量都非常大。

动态 | 慢雾：Cryptopia被盗资金发生转移:据慢雾科技反(AML)系统监测显示，Cryptopia攻击者分两次转移共20,843枚ETH，价值超380万美元。目前资金仍停留在 0x90d78A49 和 0x6D693560 开头的两个新地址，未向交易所转移。据悉，今年早些时候加密货币交易所Cryptopia遭受了黑客攻击，价值超过1600万美元的以太坊和ERC-20代币被盗。[2019/11/17]

它默认提供了一款 chrome APK 下载插件，我们发现这款插件的用户数达到了 10 W+：

那么回到我们关注的 Web3 领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？

我们拿知名的 imToken 钱包为例，其 Google Play 的正规下载途径为：

https://play.google.com/store/apps/details?id=im.token.app

由于很多手机不支持 Google Play 或者因为网络问题，很多人会从这里下载 Google Play 的应用。

而 apkcombo 镜像站的下载路径为：

https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现，apkcombo 提供的版本为 24.9.11，经由 imToken 确认后，这是一个并不存在的版本！证实这是目前市面上假 imToken 钱包最多的一个版本。

在编写本文时 imToken 钱包的最新版本为 2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。

如下图，我们在 apkcombo 上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的 Google Play 的下载量信息，安全起见，我们觉得有必要披露这个恶意 App 的来源，防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如：uptodown

下载地址：https://imtoken.br.uptodown.com/android

我们发现 uptodown 任意注册即可发布 App，这导致钓鱼的成本变得极低：

在之前我们已经分析过不少假钱包的案例，如：2021-11-24 我们披露：《慢雾：假钱包 App 已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。

我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图：

根据逆向 APK 代码和实际分析流量包发现，助记词发送方式：

看下图，最早的 “api.funnel.rocks” 证书出现在 2022-06-03，也就是攻击开始的大概时间：

俗话说一图胜千言，最后我们画一个流程图：

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。

同时，如需使用钱包，请务必认准以下主流钱包 App 官方网址：

请持续关注慢雾安全团队，更多 Web3 安全风险分析与告警正在路上。

致谢：感谢在溯源过程中 imToken 官方提供的验证支持。

由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。

慢雾科技

个人专栏

阅读更多

金色荐读

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

欧科云链

深潮TechFlow

MarsBit

Arcane Labs

标签：WEBAPKCOMWEB3web3币圈APK币wcom币涨了多少倍了web3.0币龙头

币安交易所app下载热门资讯