2025年2月14日，多名用戶集中反饋錢包資產被盜。經鏈上數據分析，被盜案例均符合助記詞/私鑰泄漏的特征。進一步回訪受害用戶后發現，他們大多曾安裝并使用過一款名為BOM的應用。深入調查表明，該應用實為精心偽裝的詐騙軟件，不法分子通過該軟件誘導用戶授權后，*非*法獲取助記詞/私鑰權限，進而實施系統性資產轉移并隱匿。

一、惡意軟件分析（OKX）

經過用戶同意，OKXWeb3安全團隊收集了部分用戶手機上的BOM應用程序的apk文件進行分析，具體細節如下：

（一）結論

1.該惡意app在進入合約頁面后，以應用運行需要為由，欺騙用戶授權本地文件以及相冊權限。

2.獲取用戶授權后，該應用在后臺掃描并收集設備相冊中的媒體文件，打包并上傳至服務端。如果用戶文件或相冊中有存儲助記詞、私鑰相關信息，不法分子有可能利用該應用收集到的相關信息盜取用戶錢包資產。

（二）分析過程

1、樣本初步分析

1）應用簽名分析

簽名subject不規范，解析后為adminwkhvjv，是一堆沒有意義的隨機字符，正常應用一般為一段有意義的字母組合。

2）惡意權限分析

在該應用的AndroidManifest文件中可以看到，注冊了大量權限。其中包含一些信息敏感的權限，包括讀寫本地文件、讀取媒體文件、相冊等。

2、動態分析

由于分析時app后端接口服務已下線，app無法正常運行，暫無法進行動態分析。

3、反編譯分析

反編譯后發現，該應用中dex中的類數量非常少，針對這些類進行了代碼層面的靜態分析。

其主要邏輯為解密一些文件，并加載application：

在assets目錄下發現uniapp的產物文件，表明該app使用了跨平臺框架uniapp進行開發：

在uniapp框架下開發的應用的主要邏輯在產物文件app-service.js中，部分關鍵代碼被加密至app-confusion.js中，我們主要從app-service.js開始分析。

1）觸發入口

在注冊各個頁面的入口處，找到了名為contract頁面的入口

對應的函數index是6596

2）設備信息初始化上報

contract頁面加載后的回調onLoad()會調用到doContract()

在doContract()中會調用initUploadData()

initUploadData()中，會先判斷網絡情況，同時也會判斷圖片和視頻列表是否為空。最后調用回調e()

回調e()就是getAllAndIOS()，

3）檢查和請求權限

這里在iOS中會先請求權限，并以應用正常運行需要的文案欺騙用戶同意。這里的請求授權行為就比較可疑了，作為一個Blockchain相關的應用程序，它的正常運行和相冊的權限沒有必然的聯系，這一請求明顯超出應用運行的正常需求。

在Android上，同樣先判斷和申請相冊權限。

4）收集讀取相冊文件

然后在androidDoingUp中讀取圖片和視頻并打包。

5）上傳相冊文件

最后在uploadBinFa()、uploadZipBinFa()和uploadDigui()中進行上傳，可以看到上傳的接口path也是一段隨機的字符。

iOS流程類似，獲取權限之后，iOS上通過getScreeshotAndShouchang()開始收集上傳的內容。

6）上傳接口

上報url中的commonUrl域名來自/api/bf9023/c99so接口的返回。

該接口的domain來自uniapp的本地緩存。

未找到寫入緩存的代碼，可能被加密混淆后存在于app-confusion.js中，在一次歷史運行時于應用緩存中看到該domain。

二、鏈上資金分析（SlowMist）

據SlowMistAML旗下的鏈上追蹤和反*洗*錢工具MistTrack分析，目前主要盜幣地址(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)已盜取至少1.3萬名用戶的資金，獲利超182萬美元。

（https://dune.com/queries/4721460）

分析地址0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，該地址首筆交易也出現在2025年2月12日，其初始資金來自被MistTrack標記為“Theft-盜取私鑰”的地址0x71552085c854EeF431EE55Da5B024F9d845EC976：

繼續分析初始黑客地址0x49aDd3E8329f2A2f507238b0A684d03EAE205aab的資金流向：

BSC：獲利約3.7萬美元，包括USDC,USDT,WBTC等幣種，常使用PancakeSwap將部分Tokens換為BNB：

目前地址余額611BNB和價值約12萬美元的Tokens，如USDT,DOGE,FIL。

Ethereum：獲利約28萬美元，大部分來自其他鏈跨鏈轉入的ETH，接著轉移100ETH到0x7438666a4f60c4eedc471fa679a43d8660b856e0，該地址還收到了上述地址0x71552085c854EeF431EE55Da5B024F9d845EC976轉入的160ETH，共260ETH暫未轉出。

Polygon：獲利約3.7or6.5萬美元，包括WBTC,SAND,STG等幣種，大部分Tokens已通過OKX-DEX兌換為66,986POL，目前黑客地址余額如下：

Arbitrum：獲利約3.7萬美元，包括USDC,USDT,WBTC等幣種，Tokens兌換為ETH，共14ETH通過OKX-DEX跨鏈到Ethereum：

Base：獲利約1.2萬美元，包括FLOCK,USDT,MOLLY等幣種，Tokens兌換為ETH，共4.5ETH通過OKX-DEX跨鏈到Ethereum：

其余鏈不再贅述。我們還對受害者提供的另一個黑客地址做了簡單分析。

黑客地址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0首筆交易出現在2025年2月13日，獲利約65萬美元，涉及多條鏈，相關USDT均跨鏈到TRON地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

地址TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx共收到703,119.2422USDT，余額為288,169.2422USDT，其中83,000USDT轉到地址TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus未轉出，剩余331,950USDT轉到曾與Huionepay交互過的地址THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

我們將對相關余額地址保持監控。三、安全建議

為幫助用戶提高防護意識，SlowMistAML團隊與OKXWeb3安全團隊整理了以下安全建議：

1.切勿下載來源不明的軟件（包括所謂的“薅羊毛工具”，以及任何發行方不明的軟件）。

2.切勿聽信朋友、社群中推薦的軟件下載鏈接，認準官方渠道下載。

3.從正規渠道下載安裝App，主要渠道有GooglePlay、AppStore以及各大官方應用商店。

4.妥善保存助記詞，切勿使用截圖、拍照、記事本、云盤等保存方式。OKX錢包移動端已經禁止私鑰和助記詞頁面的截圖。

5.使用物理方式保存助記詞，如抄寫在紙上、保存在硬件錢包、分段存儲（將助記詞/私鑰拆分，存儲在不同的位置）等。

6.定期更換錢包，有條件定期更換錢包有助于消除潛在安全風險。

7.借助專業的鏈上追蹤工具，如MistTrack(https://misttrack.io/)，對資金進行監控和分析，降低遭遇詐騙或釣魚事件的風險，更好地保障資產安全。

8.強烈推薦閱讀由SlowMist創始人余弦撰寫的《Blockchain黑暗森林自救手冊》。

免責聲明

此內容僅供參考，不構成也不應被視為(i)投資建議或推薦，(ii)購買、出售或持有數字資產的要約或招攬，或(iii)財務、會計、法律或稅務建議。我們不保證該等信息的準確性、完整性或有用性。數字資產（包括穩定幣和NFT）會受到市場波動的影響，涉及高風險，可能會貶值，甚至變得毫無價值。您應根據自己的財務狀況和風險承受能力，仔細考慮交易或持有數字資產是否適合您。有關您的具體情況，請咨詢您的法律/稅務/投資專業人士。并非所有產品都在所有地區提供。更多詳情，請參閱OKX服務條款和風險披露&免責聲明。OKXWeb3移動錢包及其衍生服務受單獨的服務條款約束。請您自行負責了解和遵守當地的有關適用法律和法規。