APP:慢雾：假钱包App已致上万人被盗 损失高达十三亿美元

小 A 最近收到了交易所即将清退大陆用户的短信，他准备将加密货币从交易所提到钱包。于是小 A 在浏览器输入“xx 钱包官方”，点进排在首位的链接，下载 App-创建钱包-转入资产，一气呵成。没几天，小 A 收到了转账成功的通知，他钱包 App 里的余额——价值 1000 万美元的 ERC20-USDT——都化为零了。小 A 后来才意识到，这个 App 是假的，自己下载到广告位的钓鱼 App 了。小 A 在朋友的介绍下，找到了我们。

聚焦受害者

小 A 不是第一个找到我们的受害者了。

随着加密货币被媒体持续炒热，不少路人在毫无基础的情况下疯狂涌入加密货币世界，滋生了一系列被被盗事件。当越来越多的受害者找到我们，我们便开始关注并收集相关事件的信息。

根据慢雾 MistTrack 所接触的受害者信息收集统计，因下载假钱包 App 被盗的就占到了 61%。

慢雾：6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息，慢雾发推称，自6月24日至6月28日，Web3生态因安全问题遭遇攻击损失149,658,500美元，包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

而下载到假钱包 App 的方式无外乎几种：

子向用户发送海报或链接，诱导用户下载假 App；

子通过购买搜索引擎的广告位及自然流量，诱用户访问虚假官网；

子获取受害者信任后，向受害者发送链接下载 App，并鼓励受害者购买加密货币并转入他们的钱包，子不断找借口要求受害者存入更多资金以提取资金。

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

最后这些受害者始终没有拿回他们的钱。

慢雾：仍有大部分钱包支持eth_sign，仅少部分钱包提供安全风险警告:金色财经报道，在加密货币NFT板块，越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈，提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的，不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign，其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign，他们可以选择支持该功能的加密钱包。但是，用户在使用这些钱包时需要特别注意安全警告，以确保其交易的安全性。[2023/5/11 14:57:14]

慢雾：Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害:据慢雾区情报反馈，Moonbirds 发布安全公告，Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖，而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架，如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

受害者案例

据某个受害者反映，子一开始通过群聊添加为好友，接着与受害者成为朋友，获得信任后，向受害者发送了所谓的官网下载链接。我们来对比下官方与钓鱼网站之间的区别。

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

左右滑动查看更多

以该受害者提供的信息来看，假官网虽然看起来很逼真，但总有一些破绽。比如假官网名称居然叫“im?钱包”、假官网随处可见的下载二维码。当受害者决定下载 App 时，扫描二维码后会将他们带到模仿应用商店的网页，该页面甚至有虚假评论，使受害者相信这个钱包 App 是合法的。

追踪研究

慢雾 AML 团队对找到我们的受害者提供的信息进行分析研究，据不完全统计，目前因下载假 App 导致资产被盗的受害者规模已有上万人，被盗金额高达十三亿美元，这还只是针对找到我们的受害者的统计，而且只包括?ETH、BTC、ERC20-USDT、TRX、TRC20-USDT。

下图是 11 月份找到我们并希望我们能提供帮助的受害者钱包被盗的相关信息。

其中一名受害者分享了他被盗的资金转移到的波场地址 (TDH...wrn)，该子地址目前已接收超过 258,571 TRC20-USDT。

慢雾 MistTrack 对该子地址进行追踪分析，结果显示共有 14 人将资金转入该地址，可以认为 14 人都是受害者，同时，资金流入的每一层地址交易量都很大，资金被拆分后都流入了不同的 Binance 用户地址。

其中一个 Binance 用户地址 (TXJ...G8u) 目前已接收超 609,969.299 枚 TRC20-USDT，价值超 61 万美元。

这只是其中一个地址而已，可想而知这种局的规模以及子从受害者那里赚了多少钱。

还有一个有趣的点，当我们在分析某些子地址（如 BTC 地址 32q...fia）的时候，竟发现该地址的资金被转移到了与勒索活动相关联的恶意地址，通过一些渠道的查询结果显示，此类局似乎不仅是团伙作案，甚至表现出跨省跨国的特征。

此外，我们的分析还显示出，子得手后通常会将一部分资金转移到交易平台，将另一小撮资金转入某个交易量特别大的黑客地址，以混淆分析。

总结

目前这种局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，必要时可通过官方验证通道核实。

同时，如需使用钱包，请务必认准以下主流钱包 App 官方网址：

imToken 钱包：

https://token.im/

TokenPocket 钱包：

https://www.tokenpocket.pro/

TronLink 钱包：

https://www.tronlink.org/

比特派钱包：

https://bitpie.com/

MetaMask 钱包：

https://metamask.io/

火币钱包：

https://www.huobiwallet.io/

标签：APPTPSETHHTTcoinbase下载app官方https://etherscan.ioEthereum Privacy MachineHTT币

Bitcoin热门资讯