比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:警惕 Web3 錢包 WalletConnect 釣魚風險_ALL

Author:

Time:1900/1/1 0:00:00

WalletConnect 釣魚風險介紹

2023 年 1 月 30 日,慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser +  WalletConnect 的場景下。

我們發現,部分 Web3 錢包在提供 WalletConnect 支持的時候,沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。

當用戶離開 DApp Browser 界面切換到錢包其他界面如示例中的 Wallet、Discover 等界面,由于錢包為了不影響用戶體驗和避免重復授權,此時 Wallet Connect 的連接是沒有斷開的,但是此時用戶卻可能因為惡意 DApp 突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。

慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

動態演示 GIF 如下圖:

攻擊者利用惡意 DApp 釣魚網站引導用戶使用 WalletConnect 與釣魚頁面連接后,然后定時不間斷發送惡意的簽名請求(如 eth_sign 這種盲簽、授權簽名、針對特殊智能合約協議的交易簽名等,后面以 eth_sign 作為舉例)。用戶識別到 eth_sign 可能不安全拒絕簽名后,由于 WalletConnect 采用 wss 的方式進行連接,如果用戶沒有及時關閉連接,釣魚頁面會不斷的發起構造惡意的 eth_sign 簽名彈窗請求,用戶在使用錢包的時候有很大的可能會錯誤的點擊簽署按鈕,導致用戶的資產被盜。

慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

這個安全問題的核心是用戶切換 DApp Browser 界面到其他界面后,是否應繼續自動彈窗響應來自 DApp Browser 界面的請求,尤其是敏感操作請求。因為跨界面后盲目彈窗響應很容易導致用戶的誤操作。

這里面涉及到一個安全原則:WalletConnect 連接后,錢包在檢測到用戶切換 DApp Browser 界面到其他界面后,應該對來自 DApp Browser 的彈窗請求不進行處理。

慢霧:美國演員SethGreen的NFT遭釣魚攻擊,資金已跨鏈到 BTC 并混幣:5月18日消息,美國演員SethGreen遭遇釣魚攻擊致4個NFT(包括1個BAYC、2個MAYC和1個Doodle)被盜,釣魚者地址已將NFT全部售出,獲利近160枚ETH(約33萬美元)。

慢霧MistTrack對0xC8a0907開頭的釣魚地址分析后,發現總共有8個用戶的NFT被盜,包含MAYC、Doodle、BAYC、VOX等12類NFT,全部售出后總獲利194ETH。同時,該釣魚地址初始資金0.188ETH來自Change NOW。釣魚者地址將大部分ETH轉換為renBTC后跨鏈到6個BTC地址,約14BTC均通過混幣轉移以躲避追蹤。NFT釣魚無處不在,請大家保持懷疑,提高警惕。[2022/5/18 3:24:23]

另外需要注意的是,雖然移動端錢包 App + PC 瀏覽器的 WalletConnect 連接場景也存在同樣的問題,但是用戶在這種場景下或許不那么容易誤操作。

WalletConnect 連接后界面切換的處理情況

慢霧安全團隊抽取市面熱門搜索和下載量比較大的 20 個 Crypto Wallet App 進行測試:

慢霧:PAID Network攻擊者直接調用mint函數鑄幣:慢霧科技發文對于PAID Network遭攻擊事件進行分析。文章中指出,在對未開源合約進行在反編譯后發現合約的 mint 函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。慢霧科技分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用 mint 函數進行任意鑄幣。

此前報道,PAID Network今天0點左右遭到攻擊,增發將近6000萬枚PAID代幣,按照當時的價格約為1.6億美元,黑客從中獲利2000ETH。[2021/3/6 18:21:08]

根據上表測試結果,我們發現:

1. 部分熱門錢包 App 如 MetaMask、Enjin Wallet、Trust Wallet、SafePal Wallet 及 iToken Wallet 等,在 WalletConnect 連接后切換到其他界面時,會自動響應 DApp 的請求,并彈出簽名窗口。

動態 | 慢霧:9 月共發生 12 起較典型的安全事件,供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件,包括:EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外,慢霧區塊鏈威脅情報(BTI)系統監測發現,針對區塊鏈生態的供應鏈攻擊越來越多,形如:去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊,還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入,進行實施盜幣攻擊。[2019/10/1]

2. 大部分測試的錢包 App 在切換界面后,對 DApp 的請求不會做出響應,也不會彈出提示窗口。

3. 少數錢包 App 在測試環境下無法使用 WalletConnect 與 DApp 連接,如 Coinbase Wallet 和 MEW Crypto Wallet 等。錢包的 DApp 中不是很適配  WalletConnect 接口。

4. 部分錢包 App 如 Exodus Wallet 和 Edge Wallet 在連接測試環境下未找到相關的 DApp 進行測試,無法判斷其切換界面后的響應情況。

慢霧安全團隊最初在 Trust Wallet 上發現這個問題,并通過 Bugcrowd 漏洞提交平臺向他們提交了這個問題,我們獲得了 Trust Wallet 的感謝,他們表示將在下一個版本修復這個安全風險。

特別的是,如果錢包對 eth_sign 這種低級簽名函數(盲簽)沒有任何風險提醒,eth_sign 這是一種非常危險的低級簽名,大大加劇了 WalletConnect 這個問題釣魚的風險。

不過如果只是禁用了 eth_sign 也不是完全沒有風險(本文僅是拿 eth_sign 舉例說明),我們還是呼吁更多的錢包開始禁用它。以用戶數量最多的 MetaMask 錢包為例,其插件端已經在 2023 年 2 月 10 號發布的 V10.25.0 版本默認禁用 eth_sign,而移動端也在 2023 年 3 月 1 號發布的版本號為 6.11 開始默認不支持 eth_sign,用戶需要到設置里手動打開才能使用它。

(Refer: https://github.com/MetaMask/metamask-extension/pull/17308)

(Refer: https://github.com/MetaMask/metamask-mobile/pull/5848)

不過值得一提的是,MetaMask 6.11 版本之后添加了對 DApp 進行 URI 請求的校驗,但是這個校驗在 DApp 使用 WalletConnect 進行交互的時候,同樣會進行彈窗警告,不過這個警告存在被無限制彈窗導致 DoS 的風險。

總結與建議

對個人用戶來說,風險主要在 “域名、簽名” 兩個核心點,WalletConnect 這種釣魚方式早已被很多惡意網站用于釣魚攻擊,使用時務必保持高度警惕。

對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:

釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒:識別并提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求,并重點提醒 eth_sign 盲簽的風險。

所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免 Approve 釣魚,讓用戶知道 DApp 交易構造時的詳細內容。

預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果,有助于用戶對交易執行進行預判。

尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。

在交易顯示上,可以增加對小額或者無價值代幣交易的隱藏功能,避免尾號釣魚。

AML 合規提醒:在轉賬的時候通過 AML 機制提醒用戶轉賬的目標地址是否會觸發 AML 的規則。

請持續關注慢霧安全團隊,更多的釣魚安全風險分析與告警正在路上。

慢霧科技作為一家行業領先的區塊鏈安全公司,在安全審計方面深耕多年,安全審計不僅讓用戶安心,更是降低攻擊發生的手段之一。其次,各家機構由于數據孤島,難以關聯識別出跨機構的洗錢團伙,給反洗錢工作帶來巨大挑戰。而作為項目方,及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack 反洗錢追蹤系統積累了 2 億多個地址標簽,能夠識別全球主流交易平臺的各類錢包地址,包含 1 千多個地址實體、超 10 萬個威脅情報數據和超 9 千萬個風險地址,如有需要可聯系我們接入 API。最后希望各方共同努力,一起讓區塊鏈生態更美好。

慢霧科技

個人專欄

閱讀更多

金色財經 善歐巴

Chainlink預言機

白話區塊鏈

金色早8點

Odaily星球日報

Arcane Labs

深潮TechFlow

歐科云鏈

BTCStudy

MarsBit

Tags:WALLALLWALLETLETtrustwallet下載錢包官網trustwallet錢包地址忘記了mathwallet麥子錢包let幣有潛力嗎

比特幣行情
ChatGPT的邪惡孿生兄弟ChaosGPT來了_AOS

如今ChatGPT的火爆早已不是新聞。甚至,在很短的時間內,人們口中流行的話題又火速變成了GPT4,和搭載了GPT4的Copilot。有關AI對人們生活的影響的討論沸沸揚揚.

1900/1/1 0:00:00
曾經“寸土寸金” 現在無人問津 元宇宙地產變“爛尾樓”_元宇宙

近日,“林俊杰買虛擬地產浮虧91%”的消息登上微博熱搜。記者了解到,2022年11月,歌手林俊杰在Decentraland——全球最大的元宇宙地產銷售平臺花12.3萬美元購買了3塊虛擬地產,最近.

1900/1/1 0:00:00
金色Web3.0日報 | Twitter現已被并入名為X Corp.的新實體_EFI

DeFi數據 1、DeFi代幣總市值:520.56億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量26.

1900/1/1 0:00:00
2023年推動Layer2生態發展的6大催化劑_ETH

2023 年將是一個關鍵的轉折點,有六個重要因素將推動以太坊及其二層擴展更接近于大規模采用。讓我們來看看這些因素是什么。當今加密貨幣市場中,以太坊生態系統一直是最為活躍和受歡迎的項目之一.

1900/1/1 0:00:00
升級前兩次宕機無人關注 老牌公鏈Avalanche將被市場淘汰了嗎?_BSP

原文作者:西柚,ChainCatcher3 天內,Avalanche鏈上出現兩次停止出塊 60 分鐘以上的狀況.

1900/1/1 0:00:00
數字集體主義:加密資本主義與產權壟斷_BLOC

文章作?者:??0xShadow現在是2077年,我們進入了新產權時代,通過在元宇宙建立新的秩序,我們為所有人構建了對抗資本壟斷的工具-全民公有土地,利用哈伯格稅實現全民UBI.

1900/1/1 0:00:00
ads