上万用户遭受Bom恶意软件侵害，资产损失超182万美元

2025年2月14日，多名用户报告钱包资产被盗。链上数据分析显示，这些案例均符合助记词或私钥泄露的特征。进一步调查发现，受害用户大多曾安装并使用过一款名为BOM的应用。深入研究表明，该应用实为精心伪装的诈骗软件，不法分子通过该软件诱导用户授权后，非法获取助记词/私钥权限，进而系统性转移资产并隐匿。

恶意软件分析

经用户同意，安全团队收集并分析了部分用户手机上的BOM应用程序apk文件，得出以下结论：

1. 该恶意app在进入合约页面后，以应用运行需要为由，欺骗用户授权本地文件以及相册权限。

2. 获取用户授权后，该应用在后台扫描并收集设备相册中的媒体文件，打包并上传至服务端。如果用户文件或相册中存储有助记词、私钥相关信息，不法分子可能利用收集到的信息盗取用户钱包资产。

分析过程

1. 应用签名分析发现，签名subject不规范，解析后为一串无意义的随机字符。

2. 在AndroidManifest文件中注册了大量权限，包括读写本地文件、读取媒体文件、相册等敏感权限。

3. 反编译分析显示，该app使用跨平台框架uniapp开发，主要逻辑在app-service.js中。

4. 在contract页面加载后，会触发一系列操作，包括初始化上报设备信息、检查和请求权限、收集读取相册文件、上传文件等。

5. 上传接口的域名来自本地缓存，可能在历史运行时写入。

链上资金分析

据链上追踪分析，目前主要盗币地址(0x49aDd3E8329f2A2f507238b0A684d03EAE205aab)已盗取至少1.3万名用户的资金，获利超182万美元。

该地址首笔交易出现在2025年2月12日，初始资金来源可追溯至一个被标记为"Theft-盗取私钥"的地址。

资金流向分析：

• BSC：获利约3.7万美元，主要使用某DEX将部分代币换为BNB。

• Ethereum：获利约28万美元，大部分来自其他链跨链转入的ETH。

• Polygon：获利约3.7万或6.5万美元，大部分代币已通过某DEX兑换为POL。

• Arbitrum：获利约3.7万美元，代币兑换为ETH后跨链到Ethereum。

• Base：获利约1.2万美元，代币兑换为ETH后跨链到Ethereum。

另一个黑客地址0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0获利约65万美元，涉及多条链，相关USDT均跨链到TRON地址。

安全建议

1. 切勿下载来源不明的软件，包括所谓的"薅羊毛工具"。

2. 不要轻信他人推荐的软件下载链接，坚持从官方渠道下载。

3. 从正规应用商店下载安装App。

4. 妥善保存助记词，避免使用截图、拍照、记事本、云盘等电子方式保存。

5. 使用物理方式保存助记词，如抄写在纸上、保存在硬件钱包、分段存储等。

6. 定期更换钱包，有助于消除潜在安全风险。

7. 借助专业的链上追踪工具对资金进行监控和分析，降低遭遇诈骗或钓鱼事件的风险。

8. 建议阅读《区块链黑暗森林自救手册》，提高安全意识。