2025 年 2 月 14 日，多名用户集中反馈钱包资产被盗。经链上数据分析，被盗案例均符合助记词/私钥泄漏的特征。进一步回访受害用户后发现，他们大多曾安装并使用过一款名为 BOM 的应用。深入调查表明，该应用实为精心伪装的诈骗软件，不法分子通过该软件诱导用户授权后，非法获取助记词/私钥权限，进而实施系统性资产转移并隐匿。

因此，SlowMist AML 团队和 OKX Web3 安全团队对该恶意软件的作案手法进行调查和披露，并进行链上追踪分析，希望给更多用户提供安全警示与建议。

一、恶意软件分析（OKX）

经过用户同意，OKX Web3 安全团队收集了部分用户手机上的 BOM 应用程序的 apk 文件进行分析，具体细节如下：

（一）结论

1. 该恶意 app 在进入合约页面后，以应用运行需要为由，欺骗用户授权本地文件以及相册权限。

2. 获取用户授权后，该应用在后台扫描并收集设备相册中的媒体文件，打包并上传至服务端。如果用户文件或相册中有存储助记词、私钥相关信息，不法分子有可能利用该应用收集到的相关信息盗取用户钱包资产。

（二）分析过程

1、样本初步分析

1）应用签名分析

签名 subject 不规范，解析后为 adminwkhvjv，是一堆没有意义的随机字符，正常应用一般为一段有意义的字母组合。

2）恶意权限分析

在该应用的 AndroidManifest 文件中可以看到，注册了大量权限。其中包含一些信息敏感的权限，包括读写本地文件、读取媒体文件、相册等。

2、动态分析

由于分析时 app 后端接口服务已下线，app 无法正常运行，暂无法进行动态分析。

3、反编译分析

反编译后发现，该应用中 dex 中的类数量非常少，针对这些类进行了代码层面的静态分析。

其主要逻辑为解密一些文件，并加载 application：

在 assets 目录下发现 uniapp 的产物文件，表明该 app 使用了跨平台框架 uniapp 进行开发：

在 uniapp 框架下开发的应用的主要逻辑在产物文件 app-service.js 中，部分关键代码被加密至 app-confusion.js 中，我们主要从 app-service.js 开始分析。

1）触发入口

在注册各个页面的入口处，找到了名为 contract 页面的入口

对应的函数 index 是 6596

2）设备信息初始化上报

contract 页面加载后的回调 onLoad() 会调用到 doContract()

在 doContract() 中会调用 initUploadData()

initUploadData() 中，会先判断网络情况，同时也会判断图片和视频列表是否为空。最后调用回调 e()

回调 e() 就是 getAllAndIOS()，

3）检查和请求权限

这里在 iOS 中会先请求权限，并以应用正常运行需要的文案欺骗用户同意。这里的请求授权行为就比较可疑了，作为一个区块链相关的应用程序，它的正常运行和相册的权限没有必然的联系，这一请求明显超出应用运行的正常需求。

在 Android 上，同样先判断和申请相册权限。

4）收集读取相册文件

然后在 androidDoingUp 中读取图片和视频并打包。

5）上传相册文件

最后在 uploadBinFa()、uploadZipBinFa() 和 uploadDigui() 中进行上传，可以看到上传的接口 path 也是一段随机的字符。

iOS 流程类似，获取权限之后，iOS 上通过 getScreeshotAndShouchang() 开始收集上传的内容。

6）上传接口

上报 url 中的 commonUrl 域名来自 /api/bf9023/c99so 接口的返回。

该接口的 domain 来自 uniapp 的本地缓存。

未找到写入缓存的代码，可能被加密混淆后存在于 app-confusion.js 中，在一次历史运行时于应用缓存中看到该domain。

二、链上资金分析（SlowMist）

据 SlowMist AML 旗下的链上追踪和反洗钱工具 MistTrack 分析，目前主要盗币地址 (0x49aDd3E8329f2A2f507238b0A684d03EAE205aab) 已盗取至少 1.3 万名用户的资金，获利超 182 万美元。

（https://dune.com/queries/4721460）

该地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 首笔交易出现在 2025年2月12日，由地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35 转入 0.001 BNB 作为初始资金：

分析地址 0x9AEf1CA082c17f9D52Aa98ca861b50c776dECC35，该地址首笔交易也出现在 2025年2月12日，其初始资金来自被 MistTrack 标记为“Theft-盗取私钥”的地址 0x71552085c854EeF431EE55Da5B024F9d845EC976：

继续分析初始黑客地址 0x49aDd3E8329f2A2f507238b0A684d03EAE205aab 的资金流向：

BSC：获利约 3.7 万美元，包括 USDC, USDT, WBTC 等币种，常使用 PancakeSwap 将部分代币换为 BNB：

目前地址余额 611 BNB 和价值约 12 万美元的代币，如 USDT, DOGE, FIL。

Ethereum：获利约 28 万美元，大部分来自其他链跨链转入的 ETH，接着转移 100 ETH 到 0x7438666a4f60c4eedc471fa679a43d8660b856e0，该地址还收到了上述地址 0x71552085c854EeF431EE55Da5B024F9d845EC976 转入的 160 ETH ，共 260 ETH 暂未转出。

Polygon：获利约 3.7 or 6.5 万美元，包括 WBTC, SAND, STG 等币种，大部分代币已通过 OKX-DEX 兑换为 66,986 POL，目前黑客地址余额如下：

Arbitrum：获利约 3.7 万美元，包括 USDC, USDT, WBTC 等币种，代币兑换为 ETH，共 14 ETH 通过 OKX-DEX 跨链到 Ethereum：

Base：获利约 1.2 万美元，包括 FLOCK, USDT, MOLLY 等币种，代币兑换为 ETH，共 4.5 ETH 通过 OKX-DEX 跨链到 Ethereum：

其余链不再赘述。我们还对受害者提供的另一个黑客地址做了简单分析。

黑客地址 0xcb6573E878d1510212e84a85D4f93Fd5494f6EA0 首笔交易出现在 2025 年 2 月 13 日，获利约 65 万美元，涉及多条链，相关 USDT 均跨链到 TRON 地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx：

地址 TFW52pZ3GPPUNW847rdefZjqtTRxTCsdDx 共收到 703,119.2422 USDT，余额为 288,169.2422 USDT，其中 83,000 USDT 转到地址 TZJiMbiqBBxDXhZXbrtyTYZjVDA2jd4eus 未转出，剩余 331,950 USDT 转到曾与 Huionepay 交互过的地址 THKqT6PybrzcxkpFBGSPyE11kemRNRmDDz。

我们将对相关余额地址保持监控。

三、安全建议

为帮助用户提高防护意识，SlowMist AML 团队与 OKX Web3 安全团队整理了以下安全建议：

1. 切勿下载来源不明的软件（包括所谓的“薅羊毛工具”，以及任何发行方不明的软件）。

2. 切勿听信朋友、社群中推荐的软件下载链接，认准官方渠道下载。

3. 从正规渠道下载安装 App，主要渠道有 Google Play、App Store 以及各大官方应用商店。

4. 妥善保存助记词，切勿使用截图、拍照、记事本、云盘等保存方式。OKX 钱包移动端已经禁止私钥和助记词页面的截图。

5. 使用物理方式保存助记词，如抄写在纸上、保存在硬件钱包、分段存储（将助记词/私钥拆分，存储在不同的位置）等。

6. 定期更换钱包，有条件定期更换钱包有助于消除潜在安全风险。

7. 借助专业的链上追踪工具，如 MistTrack(https://misttrack.io/)，对资金进行监控和分析，降低遭遇诈骗或钓鱼事件的风险，更好地保障资产安全。

8. 强烈推荐阅读由SlowMist创始人余弦撰写的《区块链黑暗森林自救手册》。

免责声明

此内容仅供参考，不构成也不应被视为 (i) 投资建议或推荐，(ii) 购买、出售或持有数字资产的要约或招揽，或 (iii) 财务、会计、法律或税务建议。我们不保证该等信息的准确性、完整性或有用性。 数字资产（包括稳定币和 NFT）会受到市场波动的影响，涉及高风险，可能会贬值，甚至变得毫无价值。您应根据自己的财务状况和风险承受能力，仔细考虑交易或持有数字资产是否适合您。 有关您的具体情况，请咨询您的法律/税务/投资专业人士。 并非所有产品都在所有地区提供。 更多详情，请参阅 OKX 服务条款和风险披露&免责声明。OKX Web3 移动钱包及其衍生服务受单独的服务条款约束。请您自行负责了解和遵守当地的有关适用法律和法规。