慢雾：假钱包App已致上万人被盗 损失高达十三亿美元

小 A 最近收到了交易所即将清退大陆用户的短信，他准备将加密货币从交易所提到钱包。于是小 A 在浏览器输入“xx 钱包官方”，点进排在首位的链接，下载 App-创建钱包-转入资产，一气呵成。没几天，小 A 收到了转账成功的通知，他钱包 App 里的余额——价值 1000 万美元的 ERC20-USDT——都化为零了。小 A 后来才意识到，这个 App 是假的，自己下载到广告位的钓鱼 App 了。小 A 在朋友的介绍下，找到了我们。

聚焦受害者

小 A 不是第一个找到我们的受害者了。

随着加密货币被媒体持续炒热，不少路人在毫无基础的情况下疯狂涌入加密货币世界，滋生了一系列被被盗事件。当越来越多的受害者找到我们，我们便开始关注并收集相关事件的信息。

根据慢雾 MistTrack 所接触的受害者信息收集统计，因下载假钱包 App 被盗的就占到了 61%。

慢雾：Poly Network再次遭遇黑客攻击，黑客已获利价值超439万美元的主流资产:金色财经报道，据慢雾区情报，Poly Network再次遭遇黑客攻击。分析发现，主要黑客获利地址为0xe0af…a599。根据MistTrack团队追踪溯源分析，ETH链第一笔手续费为Tornado Cash: 1 ETH，BSC链手续费来源为Kucoin和ChangeNOW，Polygon链手续费来源为FixedFloat。黑客的使用平台痕迹有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前，部分被盗Token （sUSD、RFuel、COOK等）被黑客通过Uniswap和PancakeSwap兑换成价值122万美元的主流资产，剩余被盗资金被分散到多条链60多个地址中，暂未进一步转移，全部黑客地址已被录入慢雾AML恶意地址库。[2023/7/2 22:13:22]

慢雾：近期出现新的流行恶意盗币软件Mystic Stealer，可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息，慢雾首席信息安全官/img/2022812111429/1.jpg" />

慢雾：Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息，6 月 7 日，Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下：

1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约，FlashLoanProvider 合约提供闪电贷服务，用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金，Vault 合约的资金来源于用户提供的流动性。

2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除，流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。

3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB

4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作，FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者，随后进行闪电贷回调。

5. 攻击者在二次闪电贷回调中，向 WBNB Vault 提供流动性，由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者，因此流动性余额少于预期，则攻击者所能获取的流动性凭证将多于预期。

6. 攻击者先归还二次闪电贷，然后从 WBNB Vault 中移除流动性，此时由于 WBNB Vault 中的流动性已恢复正常，因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。

7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约，耗尽了 Equalizer Finance 的流动性。

此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]

慢雾：yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日，据慢雾区情报，知名的链上机池yearnfinance的DAI策略池遭受攻击，慢雾安全团队第一时间跟进分析，并以简讯的形式给大家分享细节，供大家参考：

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH；

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC；

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CruveDAI/USDC/USDT的大部分流动性；

4.攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)贬值；

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币；

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复；

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例体现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次，并归还闪电贷，完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]

受害者案例

据某个受害者反映，子一开始通过群聊添加为好友，接着与受害者成为朋友，获得信任后，向受害者发送了所谓的官网下载链接。我们来对比下官方与钓鱼网站之间的区别。

左右滑动查看更多

以该受害者提供的信息来看，假官网虽然看起来很逼真，但总有一些破绽。比如假官网名称居然叫“im?钱包”、假官网随处可见的下载二维码。当受害者决定下载 App 时，扫描二维码后会将他们带到模仿应用商店的网页，该页面甚至有虚假评论，使受害者相信这个钱包 App 是合法的。

追踪研究

慢雾 AML 团队对找到我们的受害者提供的信息进行分析研究，据不完全统计，目前因下载假 App 导致资产被盗的受害者规模已有上万人，被盗金额高达十三亿美元，这还只是针对找到我们的受害者的统计，而且只包括?ETH、BTC、ERC20-USDT、TRX、TRC20-USDT。

下图是 11 月份找到我们并希望我们能提供帮助的受害者钱包被盗的相关信息。

其中一名受害者分享了他被盗的资金转移到的波场地址 (TDH...wrn)，该子地址目前已接收超过 258,571 TRC20-USDT。

慢雾 MistTrack 对该子地址进行追踪分析，结果显示共有 14 人将资金转入该地址，可以认为 14 人都是受害者，同时，资金流入的每一层地址交易量都很大，资金被拆分后都流入了不同的 Binance 用户地址。

其中一个 Binance 用户地址 (TXJ...G8u) 目前已接收超 609,969.299 枚 TRC20-USDT，价值超 61 万美元。

这只是其中一个地址而已，可想而知这种局的规模以及子从受害者那里赚了多少钱。

还有一个有趣的点，当我们在分析某些子地址（如 BTC 地址 32q...fia）的时候，竟发现该地址的资金被转移到了与勒索活动相关联的恶意地址，通过一些渠道的查询结果显示，此类局似乎不仅是团伙作案，甚至表现出跨省跨国的特征。

此外，我们的分析还显示出，子得手后通常会将一部分资金转移到交易平台，将另一小撮资金转入某个交易量特别大的黑客地址，以混淆分析。

总结

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，必要时可通过官方验证通道核实。

同时，如需使用钱包，请务必认准以下主流钱包 App 官方网址：

imToken 钱包：

https://token.im/

TokenPocket 钱包：

https://www.tokenpocket.pro/

TronLink 钱包：

https://www.tronlink.org/

比特派钱包：

https://bitpie.com/

MetaMask 钱包：

https://metamask.io/

火币钱包：

https://www.huobiwallet.io/

标签：USDDAIUSDTSDTusda币什么价Compound DaiBABYUSDTUSDT币提到钱包有风控吗

火币APP热门资讯