Een malafide WalletConnect-app die in de Google Play Store stond is meer dan tienduizend keer gedownload voordat die door Google werd verwijderd. Criminelen hadden op dat moment al meer dan 70.000 dollar van meer dan honderdvijftig slachtoffers gestolen, zo meldt securitybedrijf Check Point. WalletConnect is een opensourceprotocol voor het koppelen van cryptowallets aan gedecentraliseerd applicaties (dApps) op het web.

Wanneer gebruikers de malafide WalletConnect-app starten krijgen ze de vraag om hun cryptowallet te koppelen. "We gaan ervan uit dat gebruikers deze kwaadaardige app installeren om hun wallet te koppelen met Web3-toepassingen die geen directe verbindingen met wallets zoals MetaMask, Binance Wallet of Trust Wallet ondersteunen, maar alleen het WalletConnect-protocol gebruiken. Ze verwachten waarschijnlijk dat de gedownloade WalletConnect-app als een soort proxy fungeert. Daarom lijkt het verbindingsverzoek niet verdacht", aldus Check Point.

Vervolgens krijgt de gebruiker de vraag om zijn wallet te verifiëren en verschillende transacties te signeren. In de achtergrond wordt allerlei informatie over de wallet van de gebruiker met de aanvaller uitgewisseld. Vervolgens wordt de aanwezige crypto via een directe transactie of smart contract gestolen. Op basis van het adres dat in de malafide app werd aangetroffen schatten de onderzoekers dat er honderdvijftig slachtoffers zijn gemaakt met een totale schadepost van meer dan 70.000 dollar. Daarbij maakten de aanvallers ook gebruik van neprecensies om de malafide app een hoge beoordeling te geven.