OKX & SlowMist 聯合發布｜Bom 惡意軟件席捲上萬用戶，盜取資產超 182 萬美元

2025 年 2 月 14 日，多名用戶集中反饋錢包資產被盜。經鏈上數據分析，被盜案例均符合助記詞/私鑰泄漏的特徵。進一步回訪受害用戶後發現，他們大多曾安裝並使用過一款名為 BOM 的應用。深入調查表明，該應用實為精心偽裝的詐騙軟件，不法分子通過該軟件誘導用戶授權後，非法獲取助記詞/私鑰權限，進而實施系統性資產轉移並隱匿。因此，SlowMist AML 團隊和 OKX Web3 安全團隊對該惡意軟件的作案手法進行調查和披露，並進行鏈上追蹤分析，希望給更多用戶提供安全警示與建議。

一、惡意軟件分析（OKX）

經過用戶同意，OKX Web3 安全團隊收集了部分用戶手機上的 BOM 應用程序的 apk 文件進行分析，具體細節如下：

（一）結論

1. 該惡意 app 在進入合約頁面後，以應用運行需要為由，欺騙用戶授權本地文件以及相冊權限。
2. 獲取用戶授權後，該應用在後台掃描並收集設備相冊中的媒體文件，打包並上傳至服務端。如果用戶文件或相冊中有存儲助記詞、私鑰相關信息，不法分子有可能利用該應用收集到的相關信息盜取用戶錢包資產。

（二）分析過程

1、樣本初步分析

1）應用簽名分析

簽名 subject 不規範，解析後為 adminwkhvjv，是一堆沒有意義的隨機字符，正常應用一般為一段有意義的字母組合。

2）惡意權限分析

在該應用的 AndroidManifest 文件中可以看到，註冊了大量權限。其中包含一些信息敏感的權限，包括讀寫本地文件、讀取媒體文件、相冊等。

2、動態分析

由於分析時 app 後端接口服務已下線，app 無法正常運行，暫無法進行動態分析。

3、反編譯分析

反編譯後發現，該應用中 dex 中的類數量非常少，針對這些類進行了代碼層面的靜態分析。

其主要邏輯為解密一些文件，並加載 application：

在 assets 目錄下發現 uniapp 的產物文件，表明該 app 使用了跨平台框架 uniapp 進行開發：

在 uniapp 框架下開發的應用的主要邏輯在產物文件 app-service.js 中，部分關鍵代碼被加密至 app-confusion.js 中，我們主要從 app-service.js 開始分析。

1）觸發入口

在註冊各個頁面的入口處，找到了名為 contract 頁面的入口

對應的函數 index 是 6596

2）設備信息初始化上報

contract 頁面加載後的回調 onLoad() 會調用到 doContract()

在 doContract() 中會調用 initUploadData()

initUploadData() 中，會先判斷網絡情況，同時也會判斷圖片和視頻列表是否為空。最後調用回調 e()

回調 e() 就是 getAllAndIOS()，

3）檢查和請求權限

這裡在 iOS 中會先請求權限，並以應用正常運行需要的文案欺騙用戶同意。這裡的請求授權行為就比較可疑了，作為一個區塊鏈相關的應用程序，它的正常運行和相冊的權限沒有必然的聯繫，這一請求明顯超出應用運行的正常需求。

在 Android 上，同樣先判斷和申請相冊權限。

4）收集讀取相冊文件

然後在 androidDoingUp 中讀取圖片和視頻並打包。

5）上傳相冊文件

最後在 uploadBinFa()、uploadZipBinFa() 和 uploadDigui() 中進行上傳，可以看到上傳的接口 path 也是一段隨機的字符。

iOS 流程類似，獲取權限之後，iOS 上通過 getScreeshotAndShouchang() 開始收集上傳的內容。

6）上傳接口

上報 url 中的 commonUrl 域名來自 /api/bf9023/c99so 接口的返回。

該接口的 domain 來自 uniapp 的本地緩存。

未找到寫入緩存的代碼，可能被加密混淆後存在於 app-confusion.js 中，在一次歷史運行時於應用緩存中看到該 domain。

二、鏈上資金分析（SlowMist）

據 SlowMist AML 旗下的鏈上追蹤和反洗錢工具 MistTrack 分析，目前主要盜幣地址 (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) 已盜取至少 1.3 萬名用戶的資金，獲利超 182 萬美元。

（https://dune.com/queries/4721460）

該地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 首筆交易出現在 2025年2月12日，由地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35 轉入 0.001 BNB 作為初始資金：

分析地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，該地址首筆交易也出現在 2025年2月12日，其初始資金來自被 MistTrack 標記為"Theft-盜取私鑰"的地址 0x71552085c854EeF431EE55Da5B024F9d845EC976：

繼續分析初始黑客地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 的資金流向：

BSC：獲利約 3.7 萬美元，包括 USDC, USDT, WBTC 等幣種，常使用 PancakeSwap 將部分代幣換為 BNB：

目前地址餘額 611 BNB 和價值約 12 萬美元的代幣，如 USDT, DOGE, FIL。

Ethereum：獲利約 28 萬美元，大部分來自其他鏈跨鏈轉入的 ETH，接著轉移 100 ETH 到 0x7438666a4f60c4eedc471fa679a43d8660b856e0，該地址還收到了上述地址 0x71552085c854EeF431EE55Da5B024F9d845EC976 轉入的 160 ETH ，共 260 ETH 暫未轉出。

Polygon：獲利約 3.7 或 6.5 萬美元，包括 WBTC, SAND, STG 等幣種，大部分代幣已通過 OKX-DEX 兌換為 66,986 POL，目前黑客地址餘額如下：

Arbitrum：獲利約 3.7 萬美元，包括 USDC, USDT, WBTC 等幣種，代幣兌換為 ETH，共 14 ETH 通過 OKX-DEX 跨鏈到 Ethereum：

Base：獲利約 1.2 萬美元，包括 FLOCK, USDT, MOLLY 等幣種，代幣兌換為 ETH，共 4.5 ETH 通過 OKX-DEX 跨鏈到 Ethereum：

其餘鏈不再贅述。我們還對受害者提供的另一個黑客地址做了簡單分析。

黑客地址 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 首筆交易出現在 2025 年 2 月 13 日，獲利約 65 萬美元，涉及多條鏈，相關 USDT 均跨鏈到 TRON 地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx 共收到 703,119.2422 USDT，餘額為 288,169.2422 USDT，其中 83,000 USDT 轉到地址 TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus 未轉出，剩餘 331,950 USDT 轉到曾與 Huionepay 交互過的地址 THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

我們將對相關餘額地址保持監控。

三、安全建議

為幫助用戶提高防護意識，SlowMist AML 團隊與 OKX Web3 安全團隊整理了以下安全建議：

1. 切勿下載來源不明的軟件（包括所謂的"薅羊毛工具"，以及任何發行方不明的軟件）。
2. 切勿聽信朋友、社群中推薦的下載鏈接，認準官方渠道下載。
3. 從正規渠道下载安装 App，主要渠道有 Google Play、App Store 以及各大官方應用商店。
4. 妥善保存助記詞，切勿使用截圖、拍照、記事本、雲盤等保存方式。OKX 錢包移動端已經禁止私鑰和助記詞頁面的截圖。
5. 使用物理方式保存助記詞，如抄寫在紙上、保存在硬件錢包、分段存儲（將助記詞/私鑰拆分，存儲在不同的位置）等。
6. 定期更換錢包，有條件定期更換錢包有助於消除潛在安全風險。
7. 借助專業的鏈上追蹤工具，如 MistTrack(https://misttrack.io/)，對資金進行監控和分析，降低遭遇詐騙或釣魚事件的風險，更好地保障資產安全。
8. 強烈推薦閱讀由SlowMist創始人余弦撰寫的++《區塊鏈黑暗森林自救手冊》++。

免責聲明

此內容僅供參考，不構成也不應被視為 (i) 投資建議或推薦，(ii) 購買、出售或持有數字資產的要約或招攬，或 (iii) 財務、會計、法律或稅務建議。我們不保證該等信息的準確性、完整性或有用性。 數字資產（包括穩定幣和 NFT）會受到市場波動的影響，涉及高風險，可能會貶值，甚至變得毫無價值。您應根據自己的財務狀況和風險承受能力，仔細考慮交易或持有數字資產是否適合您。 有關您的具體情況，請諮詢您的法律/稅務/投資專業人士。 並非所有產品都在所有地區提供。 更多詳情，請參閱 OKX 服務條款和風險披露\&免責聲明。OKX Web3 移動錢包及其衍生服務受單獨的服務條款約束。請您自行負責了解和遵守當地的有關適用法律和法規。