上萬用戶遭受Bom惡意軟件侵害，資產損失超182萬美元

2025年2月14日，多名用戶報告錢包資產被盜。鏈上數據分析顯示，這些案例均符合助記詞或私鑰泄露的特徵。進一步調查發現，受害用戶大多曾安裝並使用過一款名爲BOM的應用。深入研究表明，該應用實爲精心僞裝的詐騙軟件，不法分子通過該軟件誘導用戶授權後，非法獲取助記詞/私鑰權限，進而系統性轉移資產並隱匿。

惡意軟件分析

經用戶同意，安全團隊收集並分析了部分用戶手機上的BOM應用程序apk文件，得出以下結論：

1. 該惡意app在進入合約頁面後，以應用運行需要爲由，欺騙用戶授權本地文件以及相冊權限。

2. 獲取用戶授權後，該應用在後臺掃描並收集設備相冊中的媒體文件，打包並上傳至服務端。如果用戶文件或相冊中存儲有助記詞、私鑰相關信息，不法分子可能利用收集到的信息盜取用戶錢包資產。

分析過程

1. 應用籤名分析發現，籤名subject不規範，解析後爲一串無意義的隨機字符。

2. 在AndroidManifest文件中註冊了大量權限，包括讀寫本地文件、讀取媒體文件、相冊等敏感權限。

3. 反編譯分析顯示，該app使用跨平台框架uniapp開發，主要邏輯在app-service.js中。

4. 在contract頁面加載後，會觸發一系列操作，包括初始化上報設備信息、檢查和請求權限、收集讀取相冊文件、上傳文件等。

5. 上傳接口的域名來自本地緩存，可能在歷史運行時寫入。

鏈上資金分析

據鏈上追蹤分析，目前主要盜幣地址(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)已盜取至少1.3萬名用戶的資金，獲利超182萬美元。

該地址首筆交易出現在2025年2月12日，初始資金來源可追溯至一個被標記爲"Theft-盜取私鑰"的地址。

資金流向分析：

• BSC：獲利約3.7萬美元，主要使用某DEX將部分代幣換爲BNB。

• Ethereum：獲利約28萬美元，大部分來自其他鏈跨鏈轉入的ETH。

• Polygon：獲利約3.7萬或6.5萬美元，大部分代幣已通過某DEX兌換爲POL。

• Arbitrum：獲利約3.7萬美元，代幣兌換爲ETH後跨鏈到Ethereum。

• Base：獲利約1.2萬美元，代幣兌換爲ETH後跨鏈到Ethereum。

另一個黑客地址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0獲利約65萬美元，涉及多條鏈，相關USDT均跨鏈到TRON地址。

安全建議

1. 切勿下載來源不明的軟件，包括所謂的"薅羊毛工具"。

2. 不要輕信他人推薦的軟件下載連結，堅持從官方渠道下載。

3. 從正規應用商店下載安裝App。

4. 妥善保存助記詞，避免使用截圖、拍照、記事本、雲盤等電子方式保存。

5. 使用物理方式保存助記詞，如抄寫在紙上、保存在硬體錢包、分段存儲等。

6. 定期更換錢包，有助於消除潛在安全風險。

7. 借助專業的鏈上追蹤工具對資金進行監控和分析，降低遭遇詐騙或釣魚事件的風險。

8. 建議閱讀《區塊鏈黑暗森林自救手冊》，提高安全意識。