慢霧：警惕 Web3 錢包 WalletConnect 釣魚風險_LET:ALL

WalletConnect釣魚風險介紹

2023年1月30日，慢霧安全團隊發現Web3錢包上關于WalletConnect使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包App內置的DAppBrowser+?WalletConnect的場景下。

我們發現，部分Web3錢包在提供WalletConnect支持的時候，沒有對WalletConnect的交易彈窗要在哪個區域彈出進行限制，因此會在錢包的任意界面彈出簽名請求。

當用戶離開DAppBrowser界面切換到錢包其他界面如示例中的Wallet、Discover等界面，由于錢包為了不影響用戶體驗和避免重復授權，此時WalletConnect的連接是沒有斷開的，但是此時用戶卻可能因為惡意DApp突然發起的簽名請求彈窗而誤操作導致被釣魚轉移走資產。

慢霧：針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道，SlowMist發布安全警報，針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket，感染鏈由一個 macOS 安裝程序組成，該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件，該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

動態演示GIF如下圖：

攻擊者利用惡意DApp釣魚網站引導用戶使用WalletConnect與釣魚頁面連接后，然后定時不間斷發送惡意的簽名請求。用戶識別到eth_sign可能不安全拒絕簽名后，由于WalletConnect采用wss的方式進行連接，如果用戶沒有及時關閉連接，釣魚頁面會不斷的發起構造惡意的eth_sign簽名彈窗請求，用戶在使用錢包的時候有很大的可能會錯誤的點擊簽署按鈕，導致用戶的資產被盜。

慢霧：Solana公鏈上發生大規模盜幣，建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息，據慢霧區情報，Solana公鏈上發生大規模盜幣事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤分析：

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行，從交易特征上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰泄露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測可能問題出現在軟件供應鏈上。在新證據被發現前，我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。[2022/8/3 2:55:22]

這個安全問題的核心是用戶切換DAppBrowser界面到其他界面后，是否應繼續自動彈窗響應來自DAppBrowser界面的請求，尤其是敏感操作請求。因為跨界面后盲目彈窗響應很容易導致用戶的誤操作。

慢霧：Ribbon Finance遭遇DNS攻擊，某用戶損失16.5 WBTC:6月24日消息，Ribbon Finance 發推表示遭遇 DNS 攻擊，慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個，地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現，Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC，具體交易為：https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

這里面涉及到一個安全原則：WalletConnect連接后，錢包在檢測到用戶切換DAppBrowser界面到其他界面后，應該對來自DAppBrowser的彈窗請求不進行處理。

慢霧：警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息，Honeyswap官方推特發文，Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官網仍未刪除該惡意地址，請立即停止使用Honeyswap進行交易，到revoke.cash排查是否有approvals 交易到惡意地址，避免不必要的損失。[2022/5/10 3:03:22]

另外需要注意的是，雖然移動端錢包App+PC瀏覽器的WalletConnect連接場景也存在同樣的問題，但是用戶在這種場景下或許不那么容易誤操作。

WalletConnect連接后界面切換的處理情況

慢霧安全團隊抽取市面熱門搜索和下載量比較大的20個CryptoWalletApp進行測試：

慢霧：Furucombo被盜資金發生異動，多次使用1inch進行兌換:據慢霧MistTrack，2月28日攻擊Furucombo的黑客地址（0xb624E2...76B212）于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH，并將147ETH從Compound轉入到自己的地址，截至目前該黑客地址余額約170萬美元，另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]

根據上表測試結果，我們發現：

1.部分熱門錢包App如MetaMask、EnjinWallet、TrustWallet、SafePalWallet及iTokenWallet等，在WalletConnect連接后切換到其他界面時，會自動響應DApp的請求，并彈出簽名窗口。

2.大部分測試的錢包App在切換界面后，對DApp的請求不會做出響應，也不會彈出提示窗口。

3.少數錢包App在測試環境下無法使用WalletConnect與DApp連接，如CoinbaseWallet和MEWCryptoWallet等。錢包的DApp中不是很適配?WalletConnect接口。

4.部分錢包App如ExodusWallet和EdgeWallet在連接測試環境下未找到相關的DApp進行測試，無法判斷其切換界面后的響應情況。

WalletConnect釣魚風險的發現和后續

慢霧安全團隊最初在TrustWallet上發現這個問題，并通過Bugcrowd漏洞提交平臺向他們提交了這個問題，我們獲得了TrustWallet的感謝，他們表示將在下一個版本修復這個安全風險。

特別的是，如果錢包對eth_sign這種低級簽名函數沒有任何風險提醒，eth_sign這是一種非常危險的低級簽名，大大加劇了WalletConnect這個問題釣魚的風險。

不過如果只是禁用了eth_sign也不是完全沒有風險，我們還是呼吁更多的錢包開始禁用它。以用戶數量最多的MetaMask錢包為例，其插件端已經在2023年2月10號發布的V10.25.0版本默認禁用eth_sign，而移動端也在2023年3月1號發布的版本號為6.11開始默認不支持eth_sign，用戶需要到設置里手動打開才能使用它。

不過值得一提的是，MetaMask6.11版本之后添加了對DApp進行URI請求的校驗，但是這個校驗在DApp使用WalletConnect進行交互的時候，同樣會進行彈窗警告，不過這個警告存在被無限制彈窗導致DoS的風險。

總結與建議

對個人用戶來說，風險主要在“域名、簽名”兩個核心點，WalletConnect這種釣魚方式早已被很多惡意網站用于釣魚攻擊，使用時務必保持高度警惕。

對錢包項目方來說，首先是需要進行全面的安全審計，重點提升用戶交互安全部分，加強所見即所簽機制，減少用戶被釣魚風險，如：

釣魚網站提醒：通過生態或者社區的力量匯聚各類釣魚網站，并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒：識別并提醒eth_sign、personal_sign、signTypedData這類簽名的請求，并重點提醒eth_sign盲簽的風險。

所見即所簽：錢包中可以對合約調用進行詳盡解析機制，避免Approve釣魚，讓用戶知道DApp交易構造時的詳細內容。

預執行機制：通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果，有助于用戶對交易執行進行預判。

尾號相同的詐騙提醒：在展示地址的時候醒目的提醒用戶檢查完整的目標地址，避免尾號相同的詐騙問題。設置白名單地址機制，用戶可以將常用的地址加入到白名單中，避免類似尾號相同的攻擊。

在交易顯示上，可以增加對小額或者無價值代幣交易的隱藏功能，避免尾號釣魚。

AML合規提醒：在轉賬的時候通過AML機制提醒用戶轉賬的目標地址是否會觸發AML的規則。

請持續關注慢霧安全團隊，更多的釣魚安全風險分析與告警正在路上。

慢霧科技作為一家行業領先的區塊鏈安全公司，在安全審計方面深耕多年，安全審計不僅讓用戶安心，更是降低攻擊發生的手段之一。其次，各家機構由于數據孤島，難以關聯識別出跨機構的洗錢團伙，給反洗錢工作帶來巨大挑戰。而作為項目方，及時拉黑阻斷惡意地址的資金轉移也是重中之重。MistTrack反洗錢追蹤系統積累了2億多個地址標簽，能夠識別全球主流交易平臺的各類錢包地址，包含1千多個地址實體、超10萬個威脅情報數據和超9千萬個風險地址，如有需要可聯系我們接入API。最后希望各方共同努力，一起讓區塊鏈生態更美好。

Tags：LETWALLETWALLALLcobo和trustwalletmathwallet網頁版錢包itokenwallet停止維護doge停止維護DOGEALLY價格

以太坊價格今日行情