LLE:慢霧：警惕 Web3 錢包 WalletConnect 釣魚風險_Doge Alliance

WalletConnect 釣魚風險介紹

2023 年 1 月 30 日，慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser +  WalletConnect 的場景下。

我們發現，部分 Web3 錢包在提供 WalletConnect 支持的時候，沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制，因此會在錢包的任意界面彈出簽名請求。

當用戶離開 DApp Browser 界面切換到錢包其他界面如示例中的 Wallet、Discover 等界面，由于錢包為了不影響用戶體驗和避免重復授權，此時 Wallet Connect 的連接是沒有斷開的，但是此時用戶卻可能因為惡意 DApp 突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

動態演示 GIF 如下圖：

攻擊者利用惡意 DApp 釣魚網站引導用戶使用 WalletConnect 與釣魚頁面連接后，然后定時不間斷發送惡意的簽名請求（如 eth_sign 這種盲簽、授權簽名、針對特殊智能合約協議的交易簽名等，后面以 eth_sign 作為舉例）。用戶識別到 eth_sign 可能不安全拒絕簽名后，由于 WalletConnect 采用 wss 的方式進行連接，如果用戶沒有及時關閉連接，釣魚頁面會不斷的發起構造惡意的 eth_sign 簽名彈窗請求，用戶在使用錢包的時候有很大的可能會錯誤的點擊簽署按鈕，導致用戶的資產被盜。

慢霧：Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋，Moonbirds 發布安全公告，Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣，而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架，如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

這個安全問題的核心是用戶切換 DApp Browser 界面到其他界面后，是否應繼續自動彈窗響應來自 DApp Browser 界面的請求，尤其是敏感操作請求。因為跨界面后盲目彈窗響應很容易導致用戶的誤操作。

這里面涉及到一個安全原則：WalletConnect 連接后，錢包在檢測到用戶切換 DApp Browser 界面到其他界面后，應該對來自 DApp Browser 的彈窗請求不進行處理。

慢霧：有用戶遭釣魚攻擊，在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息，有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析，此是由于該受害用戶遭受釣魚攻擊，錯誤的對攻擊者精心構造的惡意訂單進行簽名，惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配，并以攻擊者指定的極低價格成交，導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

另外需要注意的是，雖然移動端錢包 App + PC 瀏覽器的 WalletConnect 連接場景也存在同樣的問題，但是用戶在這種場景下或許不那么容易誤操作。

WalletConnect 連接后界面切換的處理情況

慢霧安全團隊抽取市面熱門搜索和下載量比較大的 20 個 Crypto Wallet App 進行測試：

慢霧：2021年上半年共發生78起區塊鏈安全事件，總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計，2021年上半年，整個區塊鏈生態共發生78起較為著名的安全事件，涉及DeFi安全50起、錢包安全2起，公鏈安全3起，交易所安全6起，其他安全相關17起，其中以太坊上27起，幣安智能鏈(BSC)上22起，Polygon上2起，火幣生態鏈(HECO)、波卡生態、EOS上各1起，總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現，約60%的資金被攻擊者轉入混幣平臺，約30%的資金被轉入交易所。慢霧安全團隊在此建議，用戶應增強安全意識，提高警惕，選擇經過安全審計的可靠項目參與；項目方應不斷提升自身的安全系數，通過專業安全審計機構的審計后才上線，避免損失；各交易所應加大反洗錢監管力度，進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

根據上表測試結果，我們發現：

1. 部分熱門錢包 App 如 MetaMask、Enjin Wallet、Trust Wallet、SafePal Wallet 及 iToken Wallet 等，在 WalletConnect 連接后切換到其他界面時，會自動響應 DApp 的請求，并彈出簽名窗口。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

2. 大部分測試的錢包 App 在切換界面后，對 DApp 的請求不會做出響應，也不會彈出提示窗口。

3. 少數錢包 App 在測試環境下無法使用 WalletConnect 與 DApp 連接，如 Coinbase Wallet 和 MEW Crypto Wallet 等。錢包的 DApp 中不是很適配  WalletConnect 接口。

4. 部分錢包 App 如 Exodus Wallet 和 Edge Wallet 在連接測試環境下未找到相關的 DApp 進行測試，無法判斷其切換界面后的響應情況。

慢霧安全團隊最初在 Trust Wallet 上發現這個問題，并通過 Bugcrowd 漏洞提交平臺向他們提交了這個問題，我們獲得了 Trust Wallet 的感謝，他們表示將在下一個版本修復這個安全風險。

特別的是，如果錢包對 eth_sign 這種低級簽名函數（盲簽）沒有任何風險提醒，eth_sign 這是一種非常危險的低級簽名，大大加劇了 WalletConnect 這個問題釣魚的風險。

不過如果只是禁用了 eth_sign 也不是完全沒有風險（本文僅是拿 eth_sign 舉例說明），我們還是呼吁更多的錢包開始禁用它。以用戶數量最多的 MetaMask 錢包為例，其插件端已經在 2023 年 2 月 10 號發布的 V10.25.0 版本默認禁用 eth_sign，而移動端也在 2023 年 3 月 1 號發布的版本號為 6.11 開始默認不支持 eth_sign，用戶需要到設置里手動打開才能使用它。

（Refer: https://github.com/MetaMask/metamask-extension/pull/17308）

（Refer: https://github.com/MetaMask/metamask-mobile/pull/5848）

不過值得一提的是，MetaMask 6.11 版本之后添加了對 DApp 進行 URI 請求的校驗，但是這個校驗在 DApp 使用 WalletConnect 進行交互的時候，同樣會進行彈窗警告，不過這個警告存在被無限制彈窗導致 DoS 的風險。

總結與建議

對個人用戶來說，風險主要在 “域名、簽名” 兩個核心點，WalletConnect 這種釣魚方式早已被很多惡意網站用于釣魚攻擊，使用時務必保持高度警惕。

對錢包項目方來說，首先是需要進行全面的安全審計，重點提升用戶交互安全部分，加強所見即所簽機制，減少用戶被釣魚風險，如：

釣魚網站提醒：通過生態或者社區的力量匯聚各類釣魚網站，并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒：識別并提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求，并重點提醒 eth_sign 盲簽的風險。

所見即所簽：錢包中可以對合約調用進行詳盡解析機制，避免 Approve 釣魚，讓用戶知道 DApp 交易構造時的詳細內容。

預執行機制：通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果，有助于用戶對交易執行進行預判。

尾號相同的詐騙提醒：在展示地址的時候醒目的提醒用戶檢查完整的目標地址，避免尾號相同的詐騙問題。設置白名單地址機制，用戶可以將常用的地址加入到白名單中，避免類似尾號相同的攻擊。

在交易顯示上，可以增加對小額或者無價值代幣交易的隱藏功能，避免尾號釣魚。

AML 合規提醒：在轉賬的時候通過 AML 機制提醒用戶轉賬的目標地址是否會觸發 AML 的規則。

請持續關注慢霧安全團隊，更多的釣魚安全風險分析與告警正在路上。

慢霧科技作為一家行業領先的區塊鏈安全公司，在安全審計方面深耕多年，安全審計不僅讓用戶安心，更是降低攻擊發生的手段之一。其次，各家機構由于數據孤島，難以關聯識別出跨機構的洗錢團伙，給反洗錢工作帶來巨大挑戰。而作為項目方，及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack 反洗錢追蹤系統積累了 2 億多個地址標簽，能夠識別全球主流交易平臺的各類錢包地址，包含 1 千多個地址實體、超 10 萬個威脅情報數據和超 9 千萬個風險地址，如有需要可聯系我們接入 API。最后希望各方共同努力，一起讓區塊鏈生態更美好。

慢霧科技

個人專欄

閱讀更多

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

深潮TechFlow

歐科云鏈

BTCStudy

MarsBit

Tags：LLEALLWALLLETpolkawallet挖礦教程Doge Alliancetrustwallet官網下載ELET幣

BNB