WalletConnect釣魚風險介紹
2023年1月30日,慢霧安全團隊發現Web3錢包上關于WalletConnect使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包App內置的DAppBrowser+?WalletConnect的場景下。
我們發現,部分Web3錢包在提供WalletConnect支持的時候,沒有對WalletConnect的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。
當用戶離開DAppBrowser界面切換到錢包其他界面如示例中的Wallet、Discover等界面,由于錢包為了不影響用戶體驗和避免重復授權,此時WalletConnect的連接是沒有斷開的,但是此時用戶卻可能因為惡意DApp突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。
慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]
動態演示GIF如下圖:
慢霧:警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報,近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,當前總損失約 431 萬美金。
經過慢霧安全追蹤分析確認,此次攻擊為批量谷歌關鍵詞廣告投放釣魚,用戶在谷歌搜索如:astroport,nexus protocol,anchor protocol 等這些知名的 Terra 項目,谷歌結果頁第一條看似正常的廣告鏈接(顯示的域名甚至是一樣的)實為釣魚網站。 一旦用戶不注意訪問此釣魚網站,點擊連接錢包時,釣魚網站會提醒直接輸入助記詞,一旦用戶輸入并點擊提交,資產將會被攻擊者盜取。
慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接,減少使用常用錢包進行非必要的操作,避免不必要的資損。[2022/4/21 14:37:55]
慢霧:攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息,慢霧發推稱,攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道,Ronin橋被攻擊,17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]
攻擊者利用惡意DApp釣魚網站引導用戶使用WalletConnect與釣魚頁面連接后,然后定時不間斷發送惡意的簽名請求。用戶識別到eth_sign可能不安全拒絕簽名后,由于WalletConnect采用wss的方式進行連接,如果用戶沒有及時關閉連接,釣魚頁面會不斷的發起構造惡意的eth_sign簽名彈窗請求,用戶在使用錢包的時候有很大的可能會錯誤的點擊簽署按鈕,導致用戶的資產被盜。
這個安全問題的核心是用戶切換DAppBrowser界面到其他界面后,是否應繼續自動彈窗響應來自DAppBrowser界面的請求,尤其是敏感操作請求。因為跨界面后盲目彈窗響應很容易導致用戶的誤操作。
慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。
如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:
1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。
2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。
3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。
4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。
5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]
這里面涉及到一個安全原則:WalletConnect連接后,錢包在檢測到用戶切換DAppBrowser界面到其他界面后,應該對來自DAppBrowser的彈窗請求不進行處理。
聲音 | 慢霧:Dapp、交易所等攻擊事件造成損失已近41億美金:慢霧數據顯示Dapp、交易所等攻擊事件造成的損失已達4098587697.68美金,半月增加近3億美金。據2月28日報道,慢霧區上線“被黑檔案庫(SlowMist Hacked)”,目前各類攻擊事件共造成約 3824082630.12 美金的損失。[2019/3/13]
另外需要注意的是,雖然移動端錢包App+PC瀏覽器的WalletConnect連接場景也存在同樣的問題,但是用戶在這種場景下或許不那么容易誤操作。
WalletConnect連接后界面切換的處理情況
慢霧安全團隊抽取市面熱門搜索和下載量比較大的20個CryptoWalletApp進行測試:
根據上表測試結果,我們發現:
1.部分熱門錢包App如MetaMask、EnjinWallet、TrustWallet、SafePalWallet及iTokenWallet等,在WalletConnect連接后切換到其他界面時,會自動響應DApp的請求,并彈出簽名窗口。
2.大部分測試的錢包App在切換界面后,對DApp的請求不會做出響應,也不會彈出提示窗口。
3.少數錢包App在測試環境下無法使用WalletConnect與DApp連接,如CoinbaseWallet和MEWCryptoWallet等。錢包的DApp中不是很適配?WalletConnect接口。
4.部分錢包App如ExodusWallet和EdgeWallet在連接測試環境下未找到相關的DApp進行測試,無法判斷其切換界面后的響應情況。
WalletConnect釣魚風險的發現和后續
慢霧安全團隊最初在TrustWallet上發現這個問題,并通過Bugcrowd漏洞提交平臺向他們提交了這個問題,我們獲得了TrustWallet的感謝,他們表示將在下一個版本修復這個安全風險。
特別的是,如果錢包對eth_sign這種低級簽名函數沒有任何風險提醒,eth_sign這是一種非常危險的低級簽名,大大加劇了WalletConnect這個問題釣魚的風險。
不過如果只是禁用了eth_sign也不是完全沒有風險,我們還是呼吁更多的錢包開始禁用它。以用戶數量最多的MetaMask錢包為例,其插件端已經在2023年2月10號發布的V10.25.0版本默認禁用eth_sign,而移動端也在2023年3月1號發布的版本號為6.11開始默認不支持eth_sign,用戶需要到設置里手動打開才能使用它。
不過值得一提的是,MetaMask6.11版本之后添加了對DApp進行URI請求的校驗,但是這個校驗在DApp使用WalletConnect進行交互的時候,同樣會進行彈窗警告,不過這個警告存在被無限制彈窗導致DoS的風險。
總結與建議
對個人用戶來說,風險主要在“域名、簽名”兩個核心點,WalletConnect這種釣魚方式早已被很多惡意網站用于釣魚攻擊,使用時務必保持高度警惕。
對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:
釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。
簽名的識別和提醒:識別并提醒eth_sign、personal_sign、signTypedData這類簽名的請求,并重點提醒eth_sign盲簽的風險。
所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免Approve釣魚,讓用戶知道DApp交易構造時的詳細內容。
預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果,有助于用戶對交易執行進行預判。
尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。
在交易顯示上,可以增加對小額或者無價值代幣交易的隱藏功能,避免尾號釣魚。
AML合規提醒:在轉賬的時候通過AML機制提醒用戶轉賬的目標地址是否會觸發AML的規則。
請持續關注慢霧安全團隊,更多的釣魚安全風險分析與告警正在路上。
慢霧科技作為一家行業領先的區塊鏈安全公司,在安全審計方面深耕多年,安全審計不僅讓用戶安心,更是降低攻擊發生的手段之一。其次,各家機構由于數據孤島,難以關聯識別出跨機構的洗錢團伙,給反洗錢工作帶來巨大挑戰。而作為項目方,及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack反洗錢追蹤系統積累了2億多個地址標簽,能夠識別全球主流交易平臺的各類錢包地址,包含1千多個地址實體、超10萬個威脅情報數據和超9千萬個風險地址,如有需要可聯系我們接入API。最后希望各方共同努力,一起讓區塊鏈生態更美好。
Tags:WALLLETALLWALmathwallet麥子錢包下載trustwallet錢包下載appCroatian Football Federation Tokentrustwallet下載錢包官網
編輯:liurui@Web3CN.Pro說到黃立成AKA麻吉大哥許多人并不陌生,尤其在嘻哈音樂領域以及區塊鏈領域,作為知名藍籌項目無聊猿的大戶,黃立成可謂是NFT行業大佬.
1900/1/1 0:00:00作者:21Shares分析師TomWan以太坊上海升級已過去10天有余,當前網絡上究竟發生了什么變化呢?21Shares研究分析師TomWan用數據進行了解讀分析.
1900/1/1 0:00:00采用通用數字標識符等以用戶為中心的解決方案如何徹底改變GameFi行業?近年來,隨著游戲金融(GameFi)和游戲賺錢(P2E)模式的穩步發展,加密空間和游戲行業都在慢慢融合在一起.
1900/1/1 0:00:00作者:餅干,ChainCatcher自第一個加密貨幣出現以來,單體區塊鏈一直是行業標準,但這種情況正在迅速改變.
1900/1/1 0:00:00在過去的30天里,加密研究員@ThorHartvigsen密切關注著風險投資基金(VC)和聰明的投資者?許多這些投資者的資產價值超過1億美元?.
1900/1/1 0:00:002021年,虛擬數字技術被納入“十四五”規劃綱要。2022年1月,《“十四五”數字經濟發展規劃》再次提出深化人工智能、虛擬現實等技術融合,拓展多領域應用,支持實體消費場所建設數字化消費新場景.
1900/1/1 0:00:00