2025年2月14日,多名用户报告称其钱包余额遭到未经授权的访问,随后dent有人策划了一起大规模加密货币盗窃案。.
安全公司 SlowMist 和 OKX 发布了一份联合报告,显示他们发现名为 BOM 的恶意应用程序是此次攻击的罪魁祸首。
该研究证实,BOM旨在诱骗用户授予其访问照片库和本地存储的权限。一旦获得权限,该应用程序就会秘密扫描屏幕截图或包含钱包助记词或私钥的照片。这些信息会被发布到攻击者的服务器上。.
据 MistTrac数据显示,该恶意软件已影响至少 13,000 名用户,被盗资金总额超过 182 万美元。攻击者在 Ethereum、BSC、Polygon、Arbitrum 和 Base 等不同区块链上转移资金,试图掩盖其犯罪行为。.
恶意软件分析显示数据收集方案
OKX Web3 安全团队的分析显示,该应用基于 UniApp 跨平台框架构建。该架构旨在trac敏感数据。BOM 在安装时会请求访问设备照片库和本地文件的权限。该应用误导性地声称,这些权限是应用正常运行所必需的。.
对该应用程序的反编译揭示了其主要目的是获取和上传用户信息。当用户访问应用程序的trac页面时,会激活一些功能,这些功能会扫描并收集设备存储中的媒体文件。这些文件会被打包并上传到攻击者控制的远程服务器。.
该应用程序的代码包含诸如“androidDoingUp”和“uploadBinFa”之类的函数,其唯一目的是从设备下载图像和视频,并将其上传给攻击者。报告URL使用的域名是从应用程序的本地缓存中获取的;因此,用户很难 trac其数据的最终去向。.
这款诈骗应用的签名也异常,使用随机字母(“adminwkhvjv”),而不是正规应用通常使用的意义明确的字母。这一点也足以证明该应用是诈骗应用。.
链上资金分析 trac被盗资产流向
区块链分析显示,此次盗窃事件涉及多个网络上的资金流动。主盗窃地址于2025年2月12日发起首笔交易,收到来自该地址的0.001 BNB 。.
在 BSC 链上,攻击者获利约 37,000 美元,主要以 USDC、USDT 和 WBTC 的形式存在。黑客频繁使用cakeSwap 将不同的代币兑换成 BNB。截至目前,该地址持有 611 个 BNB 和价值约 120,000 美元的代币,例如 USDT、DOGE 和 FIL。.
Ethereum 网络遭受的盗窃最为严重,损失约 28 万美元。这些资金大部分来自其他网络的跨链 ETH 转账。攻击者将 100 个 ETH 存入一个备用地址,然后从另一个关联地址向该地址转账 160 个 ETH。目前,该地址共持有 260 个 ETH,未发生其他转移。.
在 Polygon 平台上,攻击者窃取了价值约 65,000 美元的代币,包括 WBTC、SAND 和 STG。其中大部分资金在 OKX-DEX 交易所兑换成了近 67,000 个 POL 代币。此外,Arbitrum 平台(37,000 美元)和 Base 平台(12,000 美元)也发生了类似盗窃事件,大部分被盗代币被兑换成 ETH 并转移到了 Ethereum 网络上。.
