By: 山 & 耀
背景
基于區塊鏈技術的 Web3 正在驅動下一代技術革命,越來越多的人開始參與到這場加密浪潮中,但 Web3 與 Web2 是兩個截然不同的世界。Web3 世界是一個充滿著各種各樣的機遇以及危險的黑暗森林,身處 Web3 世界中,錢包則是進入 Web3 世界的入口以及通行證。
當你通過錢包在 Web3 世界中探索體驗諸多的區塊鏈相關應用和網站的過程中,你會發現在一條公鏈上每個應用都是使用錢包 “登錄”;這與我們傳統意義上的 “登錄” 不同,在 Web2 世界中,每個應用之間的賬戶不全是互通的。但在 Web3 的世界中,所有應用都是統一使用錢包去進行 “登錄”,我們可以看到 “登錄” 錢包時顯示的不是 “Login with Wallet”,取而代之的是 “Connect Wallet”。而錢包是你在 Web3 世界中的唯一通行證。
俗話說高樓之下必有陰影,在如此火熱的 Web3 世界里,錢包作為入口級應用,自然也被黑灰產業鏈盯上。
慢霧:從Multichain流出的資金總額高達2.65億美元,分布在9條鏈:金色財經報道,自7月7日以來,從 Multichain 流出的資金總額高達 2.65 億美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結,1,296,990.99 ICE(約 162 萬美元) 被 Token 發行方 Burn。流出的資金中,包括:
1)從 Multichain: Old BSC Bridge 轉出的 USDT;
2)從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;
3)從 Anyswap: Bridge Fantom 轉出的 BIFI;
4)從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC;
5)從 MultiChain: Doge Bridge 轉出的 USDC;
6)從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;
7)從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH,同時我們認為該標記(Fake Phishing183873)或許是 Etherscan 上的虛假標記,地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]
慢霧:過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息,慢霧發推稱,過去一周Web3生態系統因安全事件損失近160萬美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
在 Android 環境下,由于很多手機不支持 Google Play 或者因為網絡問題,很多人會從其他途徑下載 Google Play 的應用,比如:apkcombo、apkpure 等第三方下載站,這些站點往往標榜自己 App 是從 Google Play 鏡像下載的,但是其真實安全性如何呢?
網站分析
鑒于下載途徑眾多,我們今天以 apkcombo 為例看看,apkcombo 是一個第三方應用市場,它提供的應用據官方說大部分來源于其他正規應用商店,但事實是否真如官方所說呢?
我們先看下 apkcombo 的流量有多大:
慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]
據數據統計站點 similarweb 統計,apkcombo 站點:
全球排名:1,809
國家排名:7,370
品類排名:168
我們可以看到它的影響力和流量都非常大。
它默認提供了一款 chrome APK 下載插件,我們發現這款插件的用戶數達到了 10 W+:
慢霧:攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息,慢霧發推稱,攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道,Ronin橋被攻擊,17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]
那么回到我們關注的 Web3 領域中錢包方向,用戶如果從這里下載的錢包應用安全性如何?
我們拿知名的 imToken 錢包為例,其 Google Play 的正規下載途徑為:
https://play.google.com/store/apps/details?id=im.token.app
由于很多手機不支持 Google Play 或者因為網絡問題,很多人會從這里下載 Google Play 的應用。
慢霧:Furucombo被盜資金發生異動,多次使用1inch進行兌換:據慢霧MistTrack,2月28日攻擊Furucombo的黑客地址(0xb624E2...76B212)于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH,并將147ETH從Compound轉入到自己的地址,截至目前該黑客地址余額約170萬美元,另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]
而 apkcombo 鏡像站的下載路徑為:
https://apkcombo.com/downloader/#package=im.token.app
上圖我們可以發現,apkcombo 提供的版本為 24.9.11,經由 imToken 確認后,這是一個并不存在的版本!證實這是目前市面上假 imToken 錢包最多的一個版本。
在編寫本文時 imToken 錢包的最新版本為 2.11.3,此款錢包的版本號很高,顯然是為了偽裝成一個最新版本而設置的。
如下圖,我們在 apkcombo 上發現,此假錢包版本顯示下載量較大,此處的下載量應該是爬取的 Google Play 的下載量信息,安全起見,我們覺得有必要披露這個惡意 App 的來源,防止更多的人下載到此款假錢包。
同時我們發現類似的下載站還有如:uptodown
下載地址:https://imtoken.br.uptodown.com/android
我們發現 uptodown 任意注冊即可發布 App,這導致釣魚的成本變得極低:
在之前我們已經分析過不少假錢包的案例,如:2021-11-24 我們披露:《慢霧:假錢包 App 已致上萬人被盜,損失高達十三億美元》,所以在此不再贅述。
我們僅對 apkcombo 提供版本為 24.9.11 這款假錢包進行分析,在開始界面創建錢包或導入錢包助記詞時,虛假錢包會將助記詞等信息發送到釣魚網站的服務端去,如下圖:
根據逆向 APK 代碼和實際分析流量包發現,助記詞發送方式:
看下圖,最早的 “api.funnel.rocks” 證書出現在 2022-06-03,也就是攻擊開始的大概時間:
俗話說一圖勝千言,最后我們畫一個流程圖:
目前這種騙局活動不僅活躍,甚至有擴大范圍的趨勢,每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節,應時刻保持懷疑之心,增強安全意識與風險意識,當你使用錢包、交易所時請認準官方下載渠道并從多方進行驗證;如果你的錢包從上述鏡像站下載,請第一時間轉移資產并卸載該軟件,必要時可通過官方驗證通道核實。
同時,如需使用錢包,請務必認準以下主流錢包 App 官方網址:
請持續關注慢霧安全團隊,更多 Web3 安全風險分析與告警正在路上。
致謝:感謝在溯源過程中 imToken 官方提供的驗證支持。
由于保密性和隱私性,本文只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。
慢霧科技
個人專欄
閱讀更多
金色薦讀
金色財經 善歐巴
Chainlink預言機
白話區塊鏈
金色早8點
Odaily星球日報
歐科云鏈
深潮TechFlow
MarsBit
Arcane Labs
從去年開始炒的 Sui 終于發幣了,二級市場比較關心 Sui token 估值,這部分可以參考「Sui Token 發售在即,簡析估值及 IEO 參與方式」.
1900/1/1 0:00:00藍色光標2022年年度報告出爐,巨虧21.75 億元,其中20.38億虧損因商譽、無形資產及其他資產減值造成,而在實際虧損業務中,元宇宙占比不小.
1900/1/1 0:00:00Flashbots 發布了 Mev-Share,標志著這一賽道走入新紀元。MEV 收入預計在牛市中將貢獻不少于 70% 的 ETH Staking 收入,這或許是下一個 LSD 級別的賽道.
1900/1/1 0:00:002023年5月6日,據Beosin-Eagle Eye態勢感知平臺消息,算法穩定幣DEI項目合約遭受黑客攻擊,黑客獲利約630萬美元.
1900/1/1 0:00:00近期,Bitget 進行了一項關于人口年齡層變化與不同世代周期,對于加密資產持有率發展進程的研究.
1900/1/1 0:00:002023年加密市場從去年的深熊里大幅反彈,很多人可能還未來的及‘上車’,此時對比資產凈值(NAV)仍有5折左右折價的 Grayscale 信托份額顯得格外有吸引力;基于以太坊 Web3 核心基礎.
1900/1/1 0:00:00