ONE:慢雾：29枚Moonbirds NFT被盗事件溯源分析

事件背景??

5 月 25 日，推特用户?/img/2022812221702/0.jpg" />

推特原文

慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。

我们开始在 Twitter 上搜集并分析此钓鱼事件的相关信息时，发现?/img/2022812221702/1.jpg" />

在该推特评论下用户 /img/2022812221702/2.jpg" />

5 月 25 日晚，/img/2022812221702/3.jpg" />

下面是?/img/2022812221702/4.jpg" />

根据网页快照可以发现?https://p2peers.io/?的前端代码，其中主要的 JS 代码是「js/app.eb17746b.js」。

由于已经无法直接查看 JS 代码，利用?Cachedview?网站的快照历史记录查到在 2022 年 4 月 30 日主要的 JS 源代码。

通过对 JS 的整理，我们查到了代码中涉及到的钓鱼网站信息和交易地址。

在代码 912 行发现 approve 地址：

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

在代码 3407 行同样发现关于 approve 相关操作的地址：

0xc9E39Ad832cea1677426e5fA8966416337F88749

我们开始分析这两个地址的交易记录：

首先在 Etherscan 查询发现 0x7F7...b6A?是一个恶意合约地址：

而这个恶意合约的创建者（攻击者）是地址：

0xd975f8c82932f55c7cef51eb4247f2bea9604aa3，发现这个地址有多笔 NFT 交易记录：

我们在 NFTGO 网站进一步查看，根据该地址目前 NFT 持有情况，发现被盗 NFT 目前都停留在此地址上还没有售出，总价值约为 225,475 美元。??

慢雾：Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误，Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder，Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒：数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书，请及时确认是否受到影响。如有影响请及时更新证书，以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]

而使用 NFTSCAN 发现 NFT 数量一共是 21 个，价值 96.5 枚 ETH。??

继续使用 MistTrack 分析攻击者地址交易历史：??

可以发现该地址的 ETH 交易次数并不多只有 12 次，余额只有 0.0615 枚 ETH。??

0xc9E39Ad832cea1677426e5fA8966416337F88749 也是合约地址，合约创建者是 0x6035B92fd5102b6113fE90247763e0ac22bfEF63，这个地址在 /img/2022812221702/17.jpg" />

使用?MistTrack 发现这个地址余额同样不多，入账有 21 笔而出账有?97 笔，其中已转出共?106.2 枚?ETH。??

动态 | 慢雾：9 月共发生 12 起较典型的安全事件，供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件，包括：EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外，慢雾区块链威胁情报(BTI)系统监测发现，针对区块链生态的供应链攻击越来越多，形如：去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击，还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入，进行实施盗币攻击。[2019/10/1]

查看入账和出账信息，可以发现多笔转到 Tornado.Cash，说明黑客已经通过各种手法将盗来的币进行来转移。

我们在 JS 代码 409 行发现使用到了域名为 usemoralis.com 的服务接口：

其中 2053 端口是 API 地址，而 2083 端口则是后台登录地址。??

通过查询发现 usemoralis.com 这个域名上有大量 NFT 相关网站，其中不少是属于钓鱼网站。

通过谷歌搜索发现不少 NFT 的站点，并发现多个子域信息。

于是我们遍历和查询 usemoralis.com 的子域名，发现共存在 3 千多个相关子域站点部署在 cloudflare 上。??

声音 | 慢雾：采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破，该攻击团伙（floatingsnow等）的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前，慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见，强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]

进一步了解我们发现这些站点都是来自 moralis 提供的服务：??

moralis 是一个专门提供针对 Web3 开发和构建 DApps 的服务。??

我们发现注册后就可以得到接口地址和一个管理后台，这使得制作钓鱼网站作恶成本变得非常低。

继续分析 JS 代码，在 368 行发现有将受害者地址提交到网站域名为 pidhnone.se 的接口。

经过统计，域名为 pidhnone.se 的接口有：

· https://pidhnone.se/api/store/log

· https://pidhnone.se/api/self-spoof/

· https://pidhnone.se/api/address/

· https://pidhnone.se/api/crypto/

进一步分析发现 https://pidhnone.se/login 其实是黑客操作的控制后台，用来管理资产等信息。

根据后台地址的接口拼接上地址，可以看到攻击地址和受害者的地址。??

后台还存留关于图片信息和相关接口操作说明文字，可以看出来是非常明显的网站操作说明。??

我们分析后台里面涉及的信息，如图片：

https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8

https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6

https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042

https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30

https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d

https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234

这里面涉及黑客历史使用过的的钓鱼网站信息，如 nftshifter.io：??

以 nftshifter.io 这个钓鱼网站为例：??

在 Twitter 上查找相关记录可以看到 2022 年 3 月 25 日有受害者访问过该钓鱼网站并公布出来。??

使用相同的方式分析? nftshifter.io：??

得到?JS?源代码并进行分析：??

可以发现同样也是采用 moralis 的服务和 https://pidhnone.se/ 这个后台进行控制。

其中相关的恶意地址：

钓鱼者合约：

0x8beebade5b1131cf6957f2e8f8294016c276a90f

合约创建者：

0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee

创建合约时间：

Mar-24-2022 09:05:33 PM +UTC?

同时我们发现与这个攻击者相同的恶意合约代码有 9 个：??

随机看一个恶意合约 0xc9E...749，创建者地址为

0x6035B92fd5102b6113fE90247763e0ac22bfEF63：

相同的手法，都已经洗币。每个恶意合约上都已经有受害者的记录，此处不一一分析。

我们再来看下受害者时间：??

刚好是在攻击者创建恶意钓鱼之后，有用户上当受。

攻击者已将 NFT 售出，变卖为 ETH，我们使用 MistTrack 分析攻击者地址

0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee：

可以看到 51 ETH 已经转入 Tornado.Cash 洗币。同时，目前?Twitter 上攻击者的账户?@nftshifter_io?已经被冻结无法查看。

可以确认的是，攻击一直在发生，而且有成熟的产业链。截止到发文前黑客地址仍有新的 NFT 入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化，制作一个钓鱼模版就可以批量复制出大量不同 NFT 项目的钓鱼网站。当作恶成本变得非常低的时候，更需要普通用户提高警惕，加强安全意识，时刻保持怀疑，避免成为下一个受害者。

来源：慢雾科技

作者：山哥&耀，慢雾安全团队

标签：ONENFTIDHPIDONEZ币Fear NFTsIDH价格SPIDER

BNB价格热门资讯