不要点击不明链接,也不要在不明站点批准任何签名请求。
据慢雾区情报,发现NFT钓鱼网站如下:
钓鱼网站1:https://c01.host/
钓鱼网站2:https://acade.link/
我们先来分析钓鱼网站1:
进入网站连接钱包后,立即弹出签名框,而当我尝试点击除签名外的按钮都没有响应,看来只有一张图片摆设。
我们先看看签名内容:
Maker:用户地址
Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a
慢雾:CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息,慢雾发推称,CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示,TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX,而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]
Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查询后显示是OpenSeaV2合约地址。
慢雾:Poly Network再次遭遇黑客攻击,黑客已获利价值超439万美元的主流资产:金色财经报道,据慢雾区情报,Poly Network再次遭遇黑客攻击。分析发现,主要黑客获利地址为0xe0af…a599。根据MistTrack团队追踪溯源分析,ETH链第一笔手续费为Tornado Cash: 1 ETH,BSC链手续费来源为Kucoin和ChangeNOW,Polygon链手续费来源为FixedFloat。黑客的使用平台痕迹有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。
截止目前,部分被盗Token (sUSD、RFuel、COOK等)被黑客通过Uniswap和PancakeSwap兑换成价值122万美元的主流资产,剩余被盗资金被分散到多条链60多个地址中,暂未进一步转移,全部黑客地址已被录入慢雾AML恶意地址库。[2023/7/2 22:13:22]
大概能看出,这是用户签名NFT的销售订单,NFT是由用户持有的,一旦用户签名了此订单,子就可以直接通过OpenSea购买用户的NFT,但是购买的价格由子决定,也就是说子不花费任何资金就能「买」走用户的NFT。
慢雾:过去一周Web3生态因安全事件损失约2400万美元:6月19日消息,据慢雾发推称,过去一周Web3生态系统因安全事件损失约2400万美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT与LEV/USDC、Midas Capital,总计23,795,800美元。[2023/6/19 21:46:18]
此外,签名本身是为攻击者存储的,不能通过Revoke.Cash或Etherscan等网站取消授权来废弃签名的有效性,但可以取消你之前的挂单授权,这样也能从根源上避免这种钓鱼风险。
慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]
查看源代码,发现这个钓鱼网站直接使用HTTrack工具克隆c-01nft.io站点。对比两个站点的代码,发现了钓鱼网站多了以下内容:
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
查看此JS文件,又发现了一个钓鱼站点?https://polarbears.in。
如出一辙,使用HTTrack复制了?https://polarbearsnft.com/,同样地,只有一张静态图片摆设。
跟随上图的链接,我们来到?https://thedoodles.site,又是一个使用HTTrack的钓鱼站点,看来我们走进了钓鱼窝。
对比代码,又发现了新的钓鱼站点?https://themta.site,不过目前已无法打开。
通过搜索,发现与钓鱼站点thedoodles.site相关的18个结果。同时,钓鱼网站2也在列表里,同一伙子互相Copy,广泛撒网。
再来分析钓鱼站点2:
同样,点击进去就直接弹出请求签名的窗口:
且授权内容与钓鱼站点1的一样:
Maker:用户地址
Exchange:OpenSeaV2合约
Taker:子合约地址
先分析子合约地址,可以看到这个合约地址已被MistTrack标记为高风险钓鱼地址。
接着,我们使用MistTrack分析该合约的创建者地址:
发现该钓鱼地址的初始资金来源于另一个被标记为钓鱼的地址,再往上追溯,资金则来自另外三个钓鱼地址。
总结
本文主要是说明了一种较为常见的NFT钓鱼方式,即子能够以0ETH购买你所有授权的NFT,同时我们顺藤摸瓜,扯出了一堆钓鱼网站。建议大家在尝试登录或购买之前,务必验证正在使用的NFT网站的URL。同时,不要点击不明链接,也不要在不明站点批准任何签名请求,定期检查是否有与异常合约交互并及时撤销授权。最后,做好隔离,资金不要放在同一个钱包里。
原文标题:《「零元购」NFT钓鱼分析》
撰文:Lisa
来源:ForesightNews
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。