宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 波场 > 正文

慢雾:警惕 Web3 钱包 WalletConnect 钓鱼风险

作者:

时间:1900/1/1 0:00:00

WalletConnect 钓鱼风险介绍

2023 年 1 月 30 日,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser +  WalletConnect 的场景下。

我们发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。

当用户离开 DApp Browser 界面切换到钱包其他界面如示例中的 Wallet、Discover 等界面,由于钱包为了不影响用户体验和避免重复授权,此时 Wallet Connect 的连接是没有断开的,但是此时用户却可能因为恶意 DApp 突然发起的签名请求弹窗而误操作导致被钓鱼转移走资产。

慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

动态演示 GIF 如下图:

攻击者利用恶意 DApp 钓鱼网站引导用户使用 WalletConnect 与钓鱼页面连接后,然后定时不间断发送恶意的签名请求(如 eth_sign 这种盲签、授权签名、针对特殊智能合约协议的交易签名等,后面以 eth_sign 作为举例)。用户识别到 eth_sign 可能不安全拒绝签名后,由于 WalletConnect 采用 wss 的方式进行连接,如果用户没有及时关闭连接,钓鱼页面会不断的发起构造恶意的 eth_sign 签名弹窗请求,用户在使用钱包的时候有很大的可能会错误的点击签署按钮,导致用户的资产被盗。

慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官/img/2023525195345/3.jpg" />

根据上表测试结果,我们发现:

1. 部分热门钱包 App 如 MetaMask、Enjin Wallet、Trust Wallet、SafePal Wallet 及 iToken Wallet 等,在 WalletConnect 连接后切换到其他界面时,会自动响应 DApp 的请求,并弹出签名窗口。

慢雾:Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道,慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析,以下将分析结论同步社区:

Hacker#1 攻击黑客(盗取最大资金黑客),获利金额:约 2410 万美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已归还超 1890 万美元的被盗资金;12,500 BNB 存款到 Tornado Cash;约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。

Hacker#2 套利机器人-1,获利金额:1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在获利地址中,未进一步转移。

Hacker#3 攻击模仿者-1,获利金额:356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利机器人-2,获利金额:246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利机器人-3,获利金额:584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部转移至新地址 0x8960...8525,后无进一步转移。

Hacker#6 攻击模仿者-2,获利金额:2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利机器人-4,获利金额:5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通过 Uniswap 兑换为 30.17 ETH,其中 0.71 支付给 Flashbots,剩余 ETH 未进一步转移。[2022/10/6 18:41:10]

2. 大部分测试的钱包 App 在切换界面后,对 DApp 的请求不会做出响应,也不会弹出提示窗口。

慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据/img/2023525195345/4.jpg" />

(Refer: https://github.com/MetaMask/metamask-extension/pull/17308)

(Refer: https://github.com/MetaMask/metamask-mobile/pull/5848)

不过值得一提的是,MetaMask 6.11 版本之后添加了对 DApp 进行 URI 请求的校验,但是这个校验在 DApp 使用 WalletConnect 进行交互的时候,同样会进行弹窗警告,不过这个警告存在被无限制弹窗导致 DoS 的风险。

总结与建议

对个人用户来说,风险主要在 “域名、签名” 两个核心点,WalletConnect 这种钓鱼方式早已被很多恶意网站用于钓鱼攻击,使用时务必保持高度警惕。

对钱包项目方来说,首先是需要进行全面的安全审计,重点提升用户交互安全部分,加强所见即所签机制,减少用户被钓鱼风险,如:

钓鱼网站提醒:通过生态或者社区的力量汇聚各类钓鱼网站,并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。

签名的识别和提醒:识别并提醒 eth_sign、personal_sign、signTypedData 这类签名的请求,并重点提醒 eth_sign 盲签的风险。

所见即所签:钱包中可以对合约调用进行详尽解析机制,避免 Approve 钓鱼,让用户知道 DApp 交易构造时的详细内容。

预执行机制:通过交易预执行机制可以帮助用户了解到交易广播执行后的效果,有助于用户对交易执行进行预判。

尾号相同的提醒:在展示地址的时候醒目的提醒用户检查完整的目标地址,避免尾号相同的问题。设置白名单地址机制,用户可以将常用的地址加入到白名单中,避免类似尾号相同的攻击。

在交易显示上,可以增加对小额或者无价值代币交易的隐藏功能,避免尾号钓鱼。

AML 合规提醒:在转账的时候通过 AML 机制提醒用户转账的目标地址是否会触发 AML 的规则。

请持续关注慢雾安全团队,更多的钓鱼安全风险分析与告警正在路上。

慢雾科技作为一家行业领先的区块链安全公司,在安全审计方面深耕多年,安全审计不仅让用户安心,更是降低攻击发生的手段之一。其次,各家机构由于数据孤岛,难以关联识别出跨机构的团伙,给反工作带来巨大挑战。而作为项目方,及时拉黑阻断恶意地址的资金转移也是重中之重。MistTrack 反追踪系统积累了 2 亿多个地址标签,能够识别全球主流交易平台的各类钱包地址,包含 1 千多个地址实体、超 10 万个威胁情报数据和超 9 千万个风险地址,如有需要可联系我们接入 API。最后希望各方共同努力,一起让区块链生态更美好。

慢雾科技

个人专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

白话区块链

金色早8点

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签:WALLWALLLELETrwallymathwallet观察钱包trustwallet中国能用吗LET币

波场热门资讯
以太坊 Layer2 强势落地 留给Aptos、Sui等新公链的时间不多了?

作者:大圣Web3 3月份,随着龙头Layer2协议Arbitrum治理ToKen发行和发放掀起社区狂欢,同时相关Layer2生态持续爆火.

1900/1/1 0:00:00
晚间必读5篇 | 以太坊接下来的 3 件大事

1.a16z为何推出Optimism Rollup新客户端Magi据a16z,Magi在以太坊的传统执行/共识拆分中充当共识客户端(在OP Stack 体系中通常称为Rollup客户端),它向执行客户端提供新区块以推进链.

1900/1/1 0:00:00
一茬接一茬 Web3.0移动钱包又现独特钓鱼攻击手法:Modal Phishing

我们最近发现了一种新型的网络钓鱼技术,可用于在连接的去中心化应用(DApp)身份方面误导受害者。我们将这种新型的网络钓鱼技术命名为Modal Phishing(模态钓鱼攻击).

1900/1/1 0:00:00
除了EIP-4844 坎昆升级还会包含哪些内容?

原文标题:Ethereum All Core Developers Consensus Call #107 Writeup原文作者:Christine Kim (编译有删减)2023 年 4 月 20 日,以太坊开发者齐聚一堂.

1900/1/1 0:00:00
金色早报 | 香港Web3Hub生态基金正式启动

▌ 以太坊基金会研究员披露质押以太坊或会泄露用户IP地址等信息4月14日消息,以太坊基金会研究员Justin Drake透露,ETH质押者的IP地址作为元数据集的一部分受到了监控,导致加密社区将此视为以太坊的隐私问题.

1900/1/1 0:00:00
RWA叙事涌来 一文探讨其优缺点和影响

撰写:ZERO IKA 编译:深潮 TechFlow现实世界资产代币化正成为一个备受关注的领域。通过将实物转化为数字代币,现实世界资产可以在区块链上变得可交易、可分割,并为更多人所持有.

1900/1/1 0:00:00