LLE:慢霧：警惕 Web3 錢包 WalletConnect 釣魚風險_trustwallet錢包知乎

WalletConnect 釣魚風險介紹

2023 年 1 月 30 日，慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser +  WalletConnect 的場景下。

我們發現，部分 Web3 錢包在提供 WalletConnect 支持的時候，沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制，因此會在錢包的任意界面彈出簽名請求。

當用戶離開 DApp Browser 界面切換到錢包其他界面如示例中的 Wallet、Discover 等界面，由于錢包為了不影響用戶體驗和避免重復授權，此時 Wallet Connect 的連接是沒有斷開的，但是此時用戶卻可能因為惡意 DApp 突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

動態演示 GIF 如下圖：

慢霧：6月24日至28日Web3生態因安全問題損失近1.5億美元:7月3日消息，慢霧發推稱，自6月24日至6月28日，Web3生態因安全問題遭遇攻擊損失149,658,500美元，包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

攻擊者利用惡意 DApp 釣魚網站引導用戶使用 WalletConnect 與釣魚頁面連接后，然后定時不間斷發送惡意的簽名請求（如 eth_sign 這種盲簽、授權簽名、針對特殊智能合約協議的交易簽名等，后面以 eth_sign 作為舉例）。用戶識別到 eth_sign 可能不安全拒絕簽名后，由于 WalletConnect 采用 wss 的方式進行連接，如果用戶沒有及時關閉連接，釣魚頁面會不斷的發起構造惡意的 eth_sign 簽名彈窗請求，用戶在使用錢包的時候有很大的可能會錯誤的點擊簽署按鈕，導致用戶的資產被盜。

慢霧：AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報，近期 AToken 錢包(atoken.com)疑似遭受到攻擊，用戶在使用 AToken 錢包后，幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了，但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作：

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案，對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包，用于后續可能需要的取證等操作。

5. 如果資產已經被盜，可以先梳理被盜事件的時間線，以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

這個安全問題的核心是用戶切換 DApp Browser 界面到其他界面后，是否應繼續自動彈窗響應來自 DApp Browser 界面的請求，尤其是敏感操作請求。因為跨界面后盲目彈窗響應很容易導致用戶的誤操作。

動態 | 慢霧： 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張，有攻擊者開始利用交易所/DApp提幣功能惡意挖礦，請交易所/DApp在處理EOS及EOS上Token的提幣時，注意檢查用戶提幣地址是否是合約賬號，建議暫時先禁止提幣到合約賬號，避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時，需要注意部分交易所的EOS充值錢包地址也是合約賬號，需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

這里面涉及到一個安全原則：WalletConnect 連接后，錢包在檢測到用戶切換 DApp Browser 界面到其他界面后，應該對來自 DApp Browser 的彈窗請求不進行處理。

另外需要注意的是，雖然移動端錢包 App + PC 瀏覽器的 WalletConnect 連接場景也存在同樣的問題，但是用戶在這種場景下或許不那么容易誤操作。

WalletConnect 連接后界面切換的處理情況

慢霧安全團隊抽取市面熱門搜索和下載量比較大的 20 個 Crypto Wallet App 進行測試：

動態 | 慢霧：9 月共發生 12 起較典型的安全事件，供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件，包括：EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外，慢霧區塊鏈威脅情報(BTI)系統監測發現，針對區塊鏈生態的供應鏈攻擊越來越多，形如：去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊，還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入，進行實施盜幣攻擊。[2019/10/1]

根據上表測試結果，我們發現：

1. 部分熱門錢包 App 如 MetaMask、Enjin Wallet、Trust Wallet、SafePal Wallet 及 iToken Wallet 等，在 WalletConnect 連接后切換到其他界面時，會自動響應 DApp 的請求，并彈出簽名窗口。

2. 大部分測試的錢包 App 在切換界面后，對 DApp 的請求不會做出響應，也不會彈出提示窗口。

3. 少數錢包 App 在測試環境下無法使用 WalletConnect 與 DApp 連接，如 Coinbase Wallet 和 MEW Crypto Wallet 等。錢包的 DApp 中不是很適配  WalletConnect 接口。

4. 部分錢包 App 如 Exodus Wallet 和 Edge Wallet 在連接測試環境下未找到相關的 DApp 進行測試，無法判斷其切換界面后的響應情況。

慢霧安全團隊最初在 Trust Wallet 上發現這個問題，并通過 Bugcrowd 漏洞提交平臺向他們提交了這個問題，我們獲得了 Trust Wallet 的感謝，他們表示將在下一個版本修復這個安全風險。

特別的是，如果錢包對 eth_sign 這種低級簽名函數（盲簽）沒有任何風險提醒，eth_sign 這是一種非常危險的低級簽名，大大加劇了 WalletConnect 這個問題釣魚的風險。

不過如果只是禁用了 eth_sign 也不是完全沒有風險（本文僅是拿 eth_sign 舉例說明），我們還是呼吁更多的錢包開始禁用它。以用戶數量最多的 MetaMask 錢包為例，其插件端已經在 2023 年 2 月 10 號發布的 V10.25.0 版本默認禁用 eth_sign，而移動端也在 2023 年 3 月 1 號發布的版本號為 6.11 開始默認不支持 eth_sign，用戶需要到設置里手動打開才能使用它。

（Refer: https://github.com/MetaMask/metamask-extension/pull/17308）

（Refer: https://github.com/MetaMask/metamask-mobile/pull/5848）

不過值得一提的是，MetaMask 6.11 版本之后添加了對 DApp 進行 URI 請求的校驗，但是這個校驗在 DApp 使用 WalletConnect 進行交互的時候，同樣會進行彈窗警告，不過這個警告存在被無限制彈窗導致 DoS 的風險。

總結與建議

對個人用戶來說，風險主要在 “域名、簽名” 兩個核心點，WalletConnect 這種釣魚方式早已被很多惡意網站用于釣魚攻擊，使用時務必保持高度警惕。

對錢包項目方來說，首先是需要進行全面的安全審計，重點提升用戶交互安全部分，加強所見即所簽機制，減少用戶被釣魚風險，如：

釣魚網站提醒：通過生態或者社區的力量匯聚各類釣魚網站，并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒：識別并提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求，并重點提醒 eth_sign 盲簽的風險。

所見即所簽：錢包中可以對合約調用進行詳盡解析機制，避免 Approve 釣魚，讓用戶知道 DApp 交易構造時的詳細內容。

預執行機制：通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果，有助于用戶對交易執行進行預判。

尾號相同的詐騙提醒：在展示地址的時候醒目的提醒用戶檢查完整的目標地址，避免尾號相同的詐騙問題。設置白名單地址機制，用戶可以將常用的地址加入到白名單中，避免類似尾號相同的攻擊。

在交易顯示上，可以增加對小額或者無價值代幣交易的隱藏功能，避免尾號釣魚。

AML 合規提醒：在轉賬的時候通過 AML 機制提醒用戶轉賬的目標地址是否會觸發 AML 的規則。

請持續關注慢霧安全團隊，更多的釣魚安全風險分析與告警正在路上。

慢霧科技作為一家行業領先的區塊鏈安全公司，在安全審計方面深耕多年，安全審計不僅讓用戶安心，更是降低攻擊發生的手段之一。其次，各家機構由于數據孤島，難以關聯識別出跨機構的洗錢團伙，給反洗錢工作帶來巨大挑戰。而作為項目方，及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack 反洗錢追蹤系統積累了 2 億多個地址標簽，能夠識別全球主流交易平臺的各類錢包地址，包含 1 千多個地址實體、超 10 萬個威脅情報數據和超 9 千萬個風險地址，如有需要可聯系我們接入 API。最后希望各方共同努力，一起讓區塊鏈生態更美好。

慢霧科技

個人專欄

閱讀更多

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

深潮TechFlow

歐科云鏈

BTCStudy

MarsBit

Tags：WALLWALLETALLLLEmathwallet.orgtrustwallet錢包知乎BITWALLET價格

Luna