广告安全机构 Confiant 发现了一系列涉及分布式钱包应用程序的恶意活动，允许黑客窃取助记词 (seed phrase) 并通过后门以冒名顶替钱包获取用户资金。 这些应用程序是通过克隆合法网站分发的，让用户感觉自己正下载官方应用程式。

恶意集群以 Metamask 等支持 Web3 的钱包为目标

在设计针对加密货币用户的攻击时，黑客变得越来越有创意。 Confiant 是一家致力于检查广告质量及其可能对互联网用户构成的安全威胁的公司，该公司警告称，一种新型攻击会影响 Metamask 和 Coinbase Wallet 等流行 Web3 钱包的用户。

该集群被识别为“Seaflower”，被 Confiant 认定为同类攻击中最复杂的攻击之一。 该报告指出，普通用户无法检测到这些应用程序，因为它们与原始应用程序几乎相同，但具有不同的代码库，允许黑客窃取钱包的助记词，从而获得当中财产。

分布和建议

报告发现，这些应用程序大多分布在常规应用程序商店之外，通过用户在百度等搜索引擎中找到的链结。 调查人员指出，由于编写代码注释的语言以及基础设施位置和所使用的服务等其他因素，该集群必定是中国起源的。

由于对 SEO 优化的智能处理，这些应用程序的链接会到达搜索站点中的热门位置，从而使它们排名靠前，并欺骗用户相信他们正在访问真实站点。 这些应用程序的复杂性归结为隐藏代码的方式，混淆了该系统的大部分工作方式

后门应用程序在构建它的同时将助记词发送到远程位置，这是 Metamask 假冒应用程式的主要攻击媒介。 对于其他钱包，Seaflower 也使用了非常相似的攻击形式。

在保护设备中的钱包安全方面，专家们进一步提出了一系列建议。 这些后门应用程序仅在应用程序商店之外分发，因此 Confiant 建议用户始终尝试从 Android 和 iOS 上的官方商店安装这些应用程序。