By: 山 & 耀
背景
基于区块链技术的 Web3 正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处 Web3 世界中,钱包则是进入 Web3 世界的入口以及通行证。
当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包 “登录”;这与我们传统意义上的 “登录” 不同,在 Web2 世界中,每个应用之间的账户不全是互通的。但在 Web3 的世界中,所有应用都是统一使用钱包去进行 “登录”,我们可以看到 “登录” 钱包时显示的不是 “Login with Wallet”,取而代之的是 “Connect Wallet”。而钱包是你在 Web3 世界中的唯一通行证。
俗话说高楼之下必有阴影,在如此火热的 Web3 世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。
慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。
据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]
在 Android 环境下,由于很多手机不支持 Google Play 或者因为网络问题,很多人会从其他途径下载 Google Play 的应用,比如:apkcombo、apkpure 等第三方下载站,这些站点往往标榜自己 App 是从 Google Play 镜像下载的,但是其真实安全性如何呢?
慢雾:已冻结部分BitKeep黑客转移资金:12月26日消息,慢雾安全团队在社交媒体上发文表示,正在对 BitKeep 钱包进行深入调查,并已冻结部分黑客转移资金。[2022/12/26 22:08:58]
网站分析
鉴于下载途径众多,我们今天以 apkcombo 为例看看,apkcombo 是一个第三方应用市场,它提供的应用据官方说大部分来源于其他正规应用商店,但事实是否真如官方所说呢?
我们先看下 apkcombo 的流量有多大:
据数据统计站点 similarweb 统计,apkcombo 站点:
全球排名:1,809
国家排名:7,370
品类排名:168
我们可以看到它的影响力和流量都非常大。
慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]
它默认提供了一款 chrome APK 下载插件,我们发现这款插件的用户数达到了 10 W+:
那么回到我们关注的 Web3 领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?
我们拿知名的 imToken 钱包为例,其 Google Play 的正规下载途径为:
https://play.google.com/store/apps/details?id=im.token.app
慢雾:警惕高危Apache Log4j2远程代码执行漏洞:据慢雾安全情报,在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。[2021/12/10 7:30:00]
由于很多手机不支持 Google Play 或者因为网络问题,很多人会从这里下载 Google Play 的应用。
而 apkcombo 镜像站的下载路径为:
https://apkcombo.com/downloader/#package=im.token.app
慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]
上图我们可以发现,apkcombo 提供的版本为 24.9.11,经由 imToken 确认后,这是一个并不存在的版本!证实这是目前市面上假 imToken 钱包最多的一个版本。
在编写本文时 imToken 钱包的最新版本为 2.11.3,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。
如下图,我们在 apkcombo 上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的 Google Play 的下载量信息,安全起见,我们觉得有必要披露这个恶意 App 的来源,防止更多的人下载到此款假钱包。
同时我们发现类似的下载站还有如:uptodown
下载地址:https://imtoken.br.uptodown.com/android
我们发现 uptodown 任意注册即可发布 App,这导致钓鱼的成本变得极低:
在之前我们已经分析过不少假钱包的案例,如:2021-11-24 我们披露:《慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。
我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:
根据逆向 APK 代码和实际分析流量包发现,助记词发送方式:
看下图,最早的 “api.funnel.rocks” 证书出现在 2022-06-03,也就是攻击开始的大概时间:
俗话说一图胜千言,最后我们画一个流程图:
目前这种局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。
同时,如需使用钱包,请务必认准以下主流钱包 App 官方网址:
请持续关注慢雾安全团队,更多 Web3 安全风险分析与告警正在路上。
致谢:感谢在溯源过程中 imToken 官方提供的验证支持。
由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。
慢雾科技
个人专栏
阅读更多
金色荐读
金色财经 善欧巴
Chainlink预言机
白话区块链
金色早8点
Odaily星球日报
欧科云链
深潮TechFlow
MarsBit
Arcane Labs
▌纽约金融监管机构采用虚拟货币评估规则金色财经报道,纽约金融服务部(NYDFS)通过一项新的规定,规定如何评估加密公司与其监管相关的成本.
1900/1/1 0:00:00原文:《从金融中心到 web3 中心,香港的加密叙事能走多远?》 作者:一尔 出品:奔跑财经 近日,香港web3嘉年华开启,香港又一次吸引了全球行业的目光.
1900/1/1 0:00:00原文:Privacy Coins 101: Anonymity-Enhanced Cryptocurrencies作者:Chainalysis区块链技术开创了财务透明的新时代.
1900/1/1 0:00:00截至目前,美国针对 Web3 虚拟资产行业尚未形成统一的监管框架,呈现“多头监管”的态势,主要在联邦和州这两个层面进行监管,并由以美国证券交易委员会(SEC)为代表的金融监管机构.
1900/1/1 0:00:00原文作者:flowie,ChainCatcher近期,加密借贷协议 Maple Finance 宣布将推出美国国债池后,其代币 $MPL 上涨超 20% .
1900/1/1 0:00:00文章作者:nich、Accelxr、1kx文章编译:Block unicorn 创作者和最终用户之间的关系基本上是单向的.
1900/1/1 0:00:00