TP 錢包帶你捉“鬼”

由 熱鏈中的人 於 3 月 6, 2020

李鬼，出自古典名著《水滸傳》第四十三回，冒用“江湖上有名目，提起好漢大名，神鬼也怕”的黑旋風李逵名號，攔路搶劫，索要李逵買路錢。後遇到李逵，被殺。

故事起因

Voice 應該是近期 EOS 用戶最關注的一個重磅的應用了，雖然 Beta 版本並不能對美國以外的人羣開放，但是在你關注 Voice 的時候有人就開始惦記你的資產了，這不事兒就來了。。

2 月 13 日的晚上距離 Beta 開始還有一段時間，突然有個朋友跟我說，Voice 發 Token 了你知道嗎？我說什麼（一臉懵）！？因爲我明明記得我們發的快訊裏面說的很清楚：用戶在測試期間收到了 Voice 代幣是不可轉讓的，之後會進行重置，不過會有額外獎勵。再說了 Token 還是發行在了測試網上。。。所以我決定來看下這個發行賬號有何貓膩。

整理線索

先看下合約地址：eosvoicebeta，使用了合約創建賬號方式（增強匿名性）；賬號格式工整的有點不像話，感覺國外人不能這麼“起名”。繼續看 eospark 瀏覽器中的賬號編輯欄（下圖），還是非常工整，還配了一個 Voice 的圖標，挺“用心”的。

在簡介裏面看到了一個網址，https://eos-voice.io，怎麼跟印象中的不一樣呢，要知道 Voice 購買域名可是花費了 3000w 美元，那麼就打開看下吧：

（假李鬼）

熟悉的配色、熟悉的預覽圖、熟悉的底部通知，那麼有沒有發現有什麼不同呢？我們來看下 https://www.voice.com 真李逵的網站長啥樣：

（真李逵）

看上去就好像是兩個時態（舊版和新版）不同的官網，那我們再看下兩個域名的服務器所在地吧：

（假李鬼）

（真李逵）

“李鬼”的地址也是用了“心”的，直接用了美國德克薩斯達拉斯（讓我想到了達拉斯小牛，不過已改名）服務器，具體是哪個運營商就不多查詢了。
“李鬼”的網址右上角上很顯眼位置看到了一個 Claim VOICE 的入口，而真品網站上是沒有的，我們來對比下：

（真假對比）

正版網站中有專門針對 Beta 用戶提供的登陸入口，另一個就是申請測試版的入口，我們知道平時遇到的 Claim 命令都是執行如 Airgrab 糖果的抓取等，但是當你遇到惡意的代碼時，你執行的就是很有可能是自己授權把錢包控制權主動交給了對方（既完成了權限的修改）。

突發事件

就在這個時間，出事兒了。。。。

最先是在開發者社區看到有人提示要警惕這個 Voice 代幣所對應的鏈接，通過 Claim 執行惡意命令，會丟失錢包控制權，而且已經有人中招了！

（發現李鬼）

沒過多久，我們的客服也遇到了另一位用戶反饋了同樣的問題：

（慘遭中招）

ps：出於使用習慣與安全原因，桌面版錢包默認將權限變更加入防火牆（需密碼解除），在未解除防火牆功能的情況下，都無法執行權限變更操作，對賬號的安全有一個很好的保障。

深入“虎穴”

那麼我們就來實際執行一下，會會這個惡意代碼，防止讓更多的人深受其害。爲了防止 EOS 賬號私鑰被修改，我特地設置了多籤賬號（多簽名賬號，需要多人授權權重≥閾值方可執行），目的就是爲了能比較深入了完成一次完整的 Claim 操作。下面看具體操作：
1、準備多籤賬號，防止惡意權限執行成功。

（準備多籤賬號）

2、打開“李鬼”網站並執行 Claim，比較尷尬的是，我準備的賬號白費了，因爲賬號沒 EOS 資產（沒資產就沒有兌換代幣的權利）。更換一個有資產賬號後發現 DApp 瀏覽器打開後無法點擊執行 Claim 命令 (這個也是好事兒，最起碼使用移動端操作的用戶不會入坑），可能是還沒有“優化”好的樣子。

（無資產無獲取權限）

3、既然移動端測試的方式走不通，那麼就直接通過上面被坑的賬號看下鏈上信息發生了什麼吧。

（權限慘遭修改）

經驗總結

經過測試發現，這是一個非常聰明的“釣魚網站”，你持有的 EOS 越多就可以得到越多的假的 voice 代幣（沒錢都不帶你玩兒），在你 Claim 的時候就把賬號歸爲己有，而且還非常“貼心”幫你抵押資源來完成權限變更的操作。唯一值得慶幸的是該代幣沒有被錢包收錄（意味着看不到代幣顯示在資產列表中）、自帶的 DApp 瀏覽器不能執行 Claim；當然了，即使可以執行，TP 錢包自帶惡意代碼防火牆功能，遇到獲取高級權限的時候會有明顯的提示，以警示用戶進行排查。在這裏提示廣大用戶，不要隨意執行不明來源的代碼，保護自己的資產安全，備份好私鑰並妥善保管，避免悲劇發生。