2025年2月14日，多名用戶集中反饋錢包資產(chǎn)被盜。經(jīng)鏈上數(shù)據(jù)分析，被盜案例均符合助記詞/私鑰泄漏的特征。進一步回訪受害用戶后發(fā)現(xiàn)，他們大多曾安裝并使用過一款名為BOM的應(yīng)用。深入調(diào)查表明，該應(yīng)用實為精心偽裝的詐騙軟件，不法分子通過該軟件誘導(dǎo)用戶授權(quán)后，*非*法獲取助記詞/私鑰權(quán)限，進而實施系統(tǒng)性資產(chǎn)轉(zhuǎn)移并隱匿。

一、惡意軟件分析（OKX）

經(jīng)過用戶同意，OKXWeb3安全團隊收集了部分用戶手機上的BOM應(yīng)用程序的apk文件進行分析，具體細(xì)節(jié)如下：

（一）結(jié)論

1.該惡意app在進入合約頁面后，以應(yīng)用運行需要為由，欺騙用戶授權(quán)本地文件以及相冊權(quán)限。

2.獲取用戶授權(quán)后，該應(yīng)用在后臺掃描并收集設(shè)備相冊中的媒體文件，打包并上傳至服務(wù)端。如果用戶文件或相冊中有存儲助記詞、私鑰相關(guān)信息，不法分子有可能利用該應(yīng)用收集到的相關(guān)信息盜取用戶錢包資產(chǎn)。

（二）分析過程

1、樣本初步分析

1）應(yīng)用簽名分析

簽名subject不規(guī)范，解析后為adminwkhvjv，是一堆沒有意義的隨機字符，正常應(yīng)用一般為一段有意義的字母組合。

2）惡意權(quán)限分析

在該應(yīng)用的AndroidManifest文件中可以看到，注冊了大量權(quán)限。其中包含一些信息敏感的權(quán)限，包括讀寫本地文件、讀取媒體文件、相冊等。

2、動態(tài)分析

由于分析時app后端接口服務(wù)已下線，app無法正常運行，暫無法進行動態(tài)分析。

3、反編譯分析

反編譯后發(fā)現(xiàn)，該應(yīng)用中dex中的類數(shù)量非常少，針對這些類進行了代碼層面的靜態(tài)分析。

其主要邏輯為解密一些文件，并加載application：

在assets目錄下發(fā)現(xiàn)uniapp的產(chǎn)物文件，表明該app使用了跨平臺框架uniapp進行開發(fā)：

在uniapp框架下開發(fā)的應(yīng)用的主要邏輯在產(chǎn)物文件app-service.js中，部分關(guān)鍵代碼被加密至app-confusion.js中，我們主要從app-service.js開始分析。

1）觸發(fā)入口

在注冊各個頁面的入口處，找到了名為contract頁面的入口

對應(yīng)的函數(shù)index是6596

2）設(shè)備信息初始化上報

contract頁面加載后的回調(diào)onLoad()會調(diào)用到doContract()

在doContract()中會調(diào)用initUploadData()

initUploadData()中，會先判斷網(wǎng)絡(luò)情況，同時也會判斷圖片和視頻列表是否為空。最后調(diào)用回調(diào)e()

回調(diào)e()就是getAllAndIOS()，

3）檢查和請求權(quán)限

這里在iOS中會先請求權(quán)限，并以應(yīng)用正常運行需要的文案欺騙用戶同意。這里的請求授權(quán)行為就比較可疑了，作為一個Blockchain相關(guān)的應(yīng)用程序，它的正常運行和相冊的權(quán)限沒有必然的聯(lián)系，這一請求明顯超出應(yīng)用運行的正常需求。

在Android上，同樣先判斷和申請相冊權(quán)限。

4）收集讀取相冊文件

然后在androidDoingUp中讀取圖片和視頻并打包。

5）上傳相冊文件

最后在uploadBinFa()、uploadZipBinFa()和uploadDigui()中進行上傳，可以看到上傳的接口path也是一段隨機的字符。

iOS流程類似，獲取權(quán)限之后，iOS上通過getScreeshotAndShouchang()開始收集上傳的內(nèi)容。

6）上傳接口

上報url中的commonUrl域名來自/api/bf9023/c99so接口的返回。

該接口的domain來自uniapp的本地緩存。

未找到寫入緩存的代碼，可能被加密混淆后存在于app-confusion.js中，在一次歷史運行時于應(yīng)用緩存中看到該domain。

二、鏈上資金分析（SlowMist）

據(jù)SlowMistAML旗下的鏈上追蹤和反*洗*錢工具MistTrack分析，目前主要盜幣地址(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)已盜取至少1.3萬名用戶的資金，獲利超182萬美元。

（https://dune.com/queries/4721460）

分析地址0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，該地址首筆交易也出現(xiàn)在2025年2月12日，其初始資金來自被MistTrack標(biāo)記為“Theft-盜取私鑰”的地址0x71552085c854EeF431EE55Da5B024F9d845EC976：

繼續(xù)分析初始黑客地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab的資金流向：

BSC：獲利約3.7萬美元，包括USDC,USDT,WBTC等幣種，常使用PancakeSwap將部分Tokens換為BNB：

目前地址余額611BNB和價值約12萬美元的Tokens，如USDT,DOGE,FIL。

Ethereum：獲利約28萬美元，大部分來自其他鏈跨鏈轉(zhuǎn)入的ETH，接著轉(zhuǎn)移100ETH到0x7438666a4f60c4eedc471fa679a43d8660b856e0，該地址還收到了上述地址0x71552085c854EeF431EE55Da5B024F9d845EC976轉(zhuǎn)入的160ETH，共260ETH暫未轉(zhuǎn)出。

Polygon：獲利約3.7or6.5萬美元，包括WBTC,SAND,STG等幣種，大部分Tokens已通過OKX-DEX兌換為66,986POL，目前黑客地址余額如下：

Arbitrum：獲利約3.7萬美元，包括USDC,USDT,WBTC等幣種，Tokens兌換為ETH，共14ETH通過OKX-DEX跨鏈到Ethereum：

Base：獲利約1.2萬美元，包括FLOCK,USDT,MOLLY等幣種，Tokens兌換為ETH，共4.5ETH通過OKX-DEX跨鏈到Ethereum：

其余鏈不再贅述。我們還對受害者提供的另一個黑客地址做了簡單分析。

黑客地址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0首筆交易出現(xiàn)在2025年2月13日，獲利約65萬美元，涉及多條鏈，相關(guān)USDT均跨鏈到TRON地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx共收到703,119.2422USDT，余額為288,169.2422USDT，其中83,000USDT轉(zhuǎn)到地址TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus未轉(zhuǎn)出，剩余331,950USDT轉(zhuǎn)到曾與Huionepay交互過的地址THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

我們將對相關(guān)余額地址保持監(jiān)控。三、安全建議

為幫助用戶提高防護意識，SlowMistAML團隊與OKXWeb3安全團隊整理了以下安全建議：

1.切勿下載來源不明的軟件（包括所謂的“薅羊毛工具”，以及任何發(fā)行方不明的軟件）。

2.切勿聽信朋友、社群中推薦的軟件下載鏈接，認(rèn)準(zhǔn)官方渠道下載。

3.從正規(guī)渠道下載安裝App，主要渠道有GooglePlay、AppStore以及各大官方應(yīng)用商店。

4.妥善保存助記詞，切勿使用截圖、拍照、記事本、云盤等保存方式。OKX錢包移動端已經(jīng)禁止私鑰和助記詞頁面的截圖。

5.使用物理方式保存助記詞，如抄寫在紙上、保存在硬件錢包、分段存儲（將助記詞/私鑰拆分，存儲在不同的位置）等。

6.定期更換錢包，有條件定期更換錢包有助于消除潛在安全風(fēng)險。

7.借助專業(yè)的鏈上追蹤工具，如MistTrack(https://misttrack.io/)，對資金進行監(jiān)控和分析，降低遭遇詐騙或釣魚事件的風(fēng)險，更好地保障資產(chǎn)安全。

8.強烈推薦閱讀由SlowMist創(chuàng)始人余弦撰寫的《Blockchain黑暗森林自救手冊》。

免責(zé)聲明

此內(nèi)容僅供參考，不構(gòu)成也不應(yīng)被視為(i)投資建議或推薦，(ii)購買、出售或持有數(shù)字資產(chǎn)的要約或招攬，或(iii)財務(wù)、會計、法律或稅務(wù)建議。我們不保證該等信息的準(zhǔn)確性、完整性或有用性。數(shù)字資產(chǎn)（包括穩(wěn)定幣和NFT）會受到市場波動的影響，涉及高風(fēng)險，可能會貶值，甚至變得毫無價值。您應(yīng)根據(jù)自己的財務(wù)狀況和風(fēng)險承受能力，仔細(xì)考慮交易或持有數(shù)字資產(chǎn)是否適合您。有關(guān)您的具體情況，請咨詢您的法律/稅務(wù)/投資專業(yè)人士。并非所有產(chǎn)品都在所有地區(qū)提供。更多詳情，請參閱OKX服務(wù)條款和風(fēng)險披露&免責(zé)聲明。OKXWeb3移動錢包及其衍生服務(wù)受單獨的服務(wù)條款約束。請您自行負(fù)責(zé)了解和遵守當(dāng)?shù)氐挠嘘P(guān)適用法律和法規(guī)。