原文作者:耀&Lisa
据慢雾区情报,发现NFT项目verb钓鱼网站如下:
钓鱼网站1:https://mint-here.xyz/verblabs.html
钓鱼网站2:https://verb-mint.netlify.app
我们先来分析钓鱼网站1:
查看源代码,发现这个钓鱼网站直接使用HTTrack工具克隆
http://opensea-live.com/limited-sale/verblabsofficial/站点。
慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
此被克隆的站点非常可疑,似乎也是钓鱼网站。
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
再来看下钓鱼网站2:
慢雾:PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出,在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。
此前报道,PAID Network今天0点左右遭到攻击,增发将近6000万枚PAID代币,按照当时的价格约为1.6亿美元,黑客从中获利2000ETH。[2021/3/6 18:21:08]
这三个站点仿佛都是一个模版生成出来的。
对照三个钓鱼网站分别揪出钓鱼地址:
钓鱼地址1:0xe7b2AAa70D6133c78006A078b95dF8Be3613385E
钓鱼地址2:0xa096356DeB502d1F5670A2E26a645eA4dbAA4741
钓鱼地址3:0x80eE5caDf0f04058b9dF853017542Ab3dF9D88d7
先分析钓鱼地址1(0xe7b…85E):
发现地址satrialingga.eth?转入过两笔ETH,分别是0.063和0.126。
随后在Twitter上找到了用户@satrialingga_,发现该用户在5月26日6:48PM发文称自己被了0.3枚ETH,并提醒大家在加入Discord时要关闭私信。显然是遭遇了私信钓鱼。
子直接留了个钓鱼形象的NFT图片,生怕别人认不出来这是钓鱼网站么?
接着,我们使用MistTrack分析钓鱼地址1:
发现盗来的钱基本被立马转走。
查看交易数较大的这个地址:
0x7068626254842b0e836a257e034659fd1f211480:
该地址初始资金来自TornadoCash转入的两笔1ETH,总共收到约37ETH,并通过189笔转出洗币,有从Binance提币和入金的交易记录。
接着,我们来分析钓鱼网站2。
发现地址2将盗来的大部分ETH都被换成USDT,并转到地址0xf44c65d285d6282c36b85e6265f68a2876bf0d39,目前未转移。
来看看最后一个钓鱼网站3:
经MistTrack分析,地址3共收到约5.5ETH,入金交易有53笔,看来被的人挺多。
继续追踪,发现大部分ETH转入Binance地址
0x2ae27a28ffa6b08d4568133632268d1335e26996:
此地址在MistTrack的风险等级为高风险,共收到约76ETH。
以上就是本次关于Verb钓鱼网站的全部分析内容。
产业链,这些子通常直接使用一些工具去copy比较出名的NFT项目网站,诱用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试登录或购买之前,务必验证正在使用的NFT网站的URL。同时,不要点击不明链接,尽量通过官方网页或者官方的媒体平台去加入Discord等,这也能避免一些钓鱼。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。