原文作者:山哥&耀@慢雾安全团队
NFT,价值超70万美元,钓鱼网站目前已无法访问。该用户表示,域名sarek.fi和p2peers.io都曾在过去的黑客事件中被使用。
搜集相关信息
慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。
我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时,发现@Dvincent_?就是黑客的Twitter账号,目前该账户已经被注销。而根据5月10日的记录,推特用户?@just1n_eth就表示?@Dvincent_?曾与其联系交易BAYCNFT,但由于对方坚持使用p2peers.io,交易最后并未达成。
5月25日晚,@0xLosingMoney?继续在Twitter公布了黑客的钱包等相关信息。
下面是?@0xLosingMoney?给出的黑客地址:
?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D
?0x8e73fe4d5839c60847066b67ea657a67f42a0adf
?0x6035B92fd5102b6113fE90247763e0ac22bfEF63
慢雾:Distrust发现严重漏洞,影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道,据慢雾区消息,Distrust 发现了一个严重的漏洞,影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器(PRNG)来访问钱包的私钥,目前已在现实世界中造成了实际影响。
漏洞详情:该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器(PRNG)实现。该实现使用了 Mersenne Twister 算法,并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。
影响范围:该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户,以及使用 libbitcoin-system 3.6 开发库的应用。
已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。
风险评估:由于该漏洞的存在,攻击者可以访问并控制用户的钱包,从而窃取其中的资金。截至 2023 年 8 月,已有超过 $900,000 美元的加密货币资产被盗。
解决方案:我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包,并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]
?0xBf41EFdD1b815556c2416DcF427f2e896142aa53
慢雾:Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道,慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析,以下将分析结论同步社区:
Hacker#1 攻击黑客(盗取最大资金黑客),获利金额:约 2410 万美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已归还超 1890 万美元的被盗资金;12,500 BNB 存款到 Tornado Cash;约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。
Hacker#2 套利机器人-1,获利金额:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在获利地址中,未进一步转移。
Hacker#3 攻击模仿者-1,获利金额:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利机器人-2,获利金额:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利机器人-3,获利金额:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部转移至新地址 0x8960...8525,后无进一步转移。
Hacker#6 攻击模仿者-2,获利金额:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利机器人-4,获利金额:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通过 Uniswap 兑换为 30.17 ETH,其中 0.71 支付给 Flashbots,剩余 ETH 未进一步转移。[2022/10/6 18:41:10]
?0x29C80c2690F91A47803445c5922e76597D1DD2B6
慢雾:Nomad事件中仍有超过9500万美元被盗资金留在3个地址中:8月2日消息,慢雾监测显示,Nomad攻击事件中仍有超过9500万美元的被盗资金留在3个地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120万枚DAI、103枚WBTC等约800万美元的加密资产,该地址也负责将1万枚WETH转移到另一地址以及将其他USDC转移;第二个地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28万枚ETH、1.02万枚WETH、80万DAI等约4700万美元的加密资产;第三个地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6万USDC后兑换为了DAI,目前有约3970万美元的加密资产。
目前慢雾经过梳理后,无法将地址3与其他两个地址连接起来,但这些攻击具有相同的模式。[2022/8/2 2:53:04]
根据网页快照可以发现https://p2peers.io/的前端代码,其中主要的JS代码是“js/app.eb17746b.js”。
由于已经无法直接查看JS代码,利用?Cachedview?网站的快照历史记录查到在2022年4月30日主要的JS源代码。
慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]
通过对JS的整理,我们查到了代码中涉及到的钓鱼网站信息和交易地址。
在代码912行发现approve地址:
0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A
在代码3407行同样发现关于approve相关操作的地址:
0xc9E39Ad832cea1677426e5fA8966416337F88749
我们开始分析这两个地址的交易记录:
0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A
0xc9E39Ad832cea1677426e5fA8966416337F88749
首先在Etherscan查询发现0x7F7...b6A?是一个恶意合约地址:
慢雾:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息,2022年01月18日,一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性,且未考虑并非所有underlying代币都有实现permit函数,导致用户资产被未授权转出。慢雾安全团队建议:应对用户传入的参数是否符合预期进行检查,且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]
而这个恶意合约的创建者是地址:
0xd975f8c82932f55c7cef51eb4247f2bea9604aa3,发现这个地址有多笔NFT交易记录:
我们在NFTGO网站进一步查看,根据该地址目前NFT持有情况,发现被盗NFT目前都停留在此地址上还没有售出,总价值约为225,475美元。
而使用NFTSCAN发现NFT数量一共是21个,价值96.5枚ETH。
继续使用MistTrack分析攻击者地址交易历史:
可以发现该地址的ETH交易次数并不多只有12次,余额只有0.0615枚ETH。
0xc9E39Ad832cea1677426e5fA8966416337F88749也是合约地址,合约创建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63,这个地址在@0xLosingMoney公布的黑客地址名单中也有提到。
使用MistTrack发现这个地址余额同样不多,入账有21笔而出账有97笔,其中已转出共106.2枚ETH。
查看入账和出账信息,可以发现多笔转到Tornado.Cash,说明黑客已经通过各种手法将盗来的币进行来转移。
其中2053端口是API地址,而2083端口则是后台登录地址。
通过查询发现usemoralis.com这个域名上有大量NFT相关网站,其中不少是属于钓鱼网站。
通过谷歌搜索发现不少NFT的站点,并发现多个子域信息。
于是我们遍历和查询usemoralis.com的子域名,发现共存在3千多个相关子域站点部署在cloudflare上。
进一步了解我们发现这些站点都是来自moralis提供的服务:
moralis是一个专门提供针对Web3开发和构建DApps的服务。
我们发现注册后就可以得到接口地址和一个管理后台,这使得制作钓鱼网站作恶成本变得非常低。
经过统计,域名为pidhnone.se的接口有:
https://pidhnone.se/api/store/log
https://pidhnone.se/api/self-spoof/
https://pidhnone.se/api/address/
https://pidhnone.se/api/crypto/
进一步分析发现https://pidhnone.se/login其实是黑客操作的控制后台,用来管理资产等信息。
根据后台地址的接口拼接上地址,可以看到攻击地址和受害者的地址。
后台还存留关于图片信息和相关接口操作说明文字,可以看出来是非常明显的网站操作说明。
我们分析后台里面涉及的信息,如图片:
https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8
https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6
https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042
https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30
https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d
https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234
这里面涉及黑客历史使用过的的钓鱼网站信息,如nftshifter.io:
以nftshifter.io这个钓鱼网站为例:
在Twitter上查找相关记录可以看到2022年3月25日有受害者访问过该钓鱼网站并公布出来。
使用相同的方式分析?nftshifter.io:
得到JS?源代码并进行分析:
可以发现同样也是采用moralis的服务和https://pidhnone.se/这个后台进行控制。
其中相关的恶意地址:
钓鱼者合约:
0x8beebade5b1131cf6957f2e8f8294016c276a90f
合约创建者:
0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee
创建合约时间:
Mar-24-202209:05:33PMUTC?
同时我们发现与这个攻击者相同的恶意合约代码有9个:
随机看一个恶意合约0xc9E...749,创建者地址为
0x6035B92fd5102b6113fE90247763e0ac22bfEF63:
相同的手法,都已经洗币。每个恶意合约上都已经有受害者的记录,此处不一一分析。
我们再来看下受害者时间:
刚好是在攻击者创建恶意钓鱼之后,有用户上当受。
攻击者已将NFT售出,变卖为ETH,我们使用MistTrack分析攻击者地址
0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee:
可以看到51ETH已经转入Tornado.Cash洗币。同时,目前Twitter上攻击者的账户@nftshifter_io已经被冻结无法查看。
产业链。截止到发文前黑客地址仍有新的NFT入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化,制作一个钓鱼模版就可以批量复制出大量不同NFT项目的钓鱼网站。当作恶成本变得非常低的时候,更需要普通用户提高警惕,加强安全意识,时刻保持怀疑,避免成为下一个受害者。
如何避免陷入欺诈的境地?慢雾安全团队建议如下:
1.不要点击来源不明的链接或附件,不要随意泄露您的助记词
2.使用强密码并启用双重身份验证以保护您的帐户。
3.不确定的情况下,向多方进行验证确认。
4.不要在网上传输敏感信息,攻击者可以通过分析这些信息和数据向用户发送有针对性的网络钓鱼电子邮件。
5.建议阅读:《区块链黑暗森林自救手册》
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。