据慢雾区情报,发现 NFT 钓鱼网站如下:
钓鱼网站 1:https://c01.host/
钓鱼网站 2:https://acade.link/
进入网站连接钱包后,立即弹出签名框,而当我尝试点击除签名外的按钮都没有响应,看来只有一张图片摆设。
我们先看看签名内容:
Maker:用户地址
Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a
Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查询后显示是 OpenSea V2 合约地址。
慢雾:NEXT空投领取资格检查通过默克尔证明进行,没有资格领取空投的用户无法绕过检查领取他人空投:金色财经报道,据慢雾区情报,有部分账户的NEXT代币被claim到非预期的地址,慢雾安全团队跟进分析后分享简析如下:
用户可以通过NEXTDistributor合约的claimBySignature函数领取NEXT代币。其中存在recipient与beneficiary角色,recipient角色用于接收claim的NEXT代币,beneficiary角色是有资格领取NEXT代币的地址,其在Connext协议公布空投资格时就已经确定。
在用户进行NEXT代币claim时,合约会进行两次检查:一是检查beneficiary角色的签名,二是检查beneficiary角色是否有资格领取空投。在进行第一次检查时其会检查用户传入的recipient是否是由beneficiary角色进行签名,因此随意传入recipient地址在未经过beneficiary签名的情况下是无法通过检查的。如果指定一个beneficiary地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。
空投领取资格检查是通过默克尔证明进行检查的,其证明应由Connext协议官方生成,因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。[2023/9/5 13:19:43]
慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]
大概能看出,这是用户签名 NFT 的销售订单,NFT 是由用户持有的,一旦用户签名了此订单,子就可以直接通过 OpenSea 购买用户的 NFT,但是购买的价格由子决定,也就是说子不花费任何资金就能「买」走用户的 NFT。
此外,签名本身是为攻击者存储的,不能通过 Revoke.Cash 或 Etherscan 等网站取消授权来废弃签名的有效性,但可以取消你之前的挂单授权,这样也能从根源上避免这种钓鱼风险。
数据:9180枚ETH从Gemini转移至未知钱包:金色财经报道,据WhaleAlert数据显示,9180枚ETH(价值14,363,929美元)从Gemini转移至未知钱包。[2022/8/27 12:51:53]
查看源代码,发现这个钓鱼网站直接使用 HTTrack 工具克隆 c-01nft.io 站点(真实网站)。对比两个站点的代码,发现了钓鱼网站多了以下内容:
查看此 JS 文件,又发现了一个钓鱼站点?https://polarbears.in。
慢雾:yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日,据慢雾区情报,知名的链上机池yearnfinance的DAI策略池遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式给大家分享细节,供大家参考:
1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH;
2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC;
3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,这个时候由于攻击者存入流动性巨大,其实已经控制CruveDAI/USDC/USDT的大部分流动性;
4.攻击者从Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)贬值;
5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中,接着调用yearnDAI策略池的earn函数,将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中,同时yearnDAI策略池将获得一定量的3CRV代币;
6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢复;
7.攻击者触发yearnDAI策略池的withdraw函数,由于yearnDAI策略池存入时用的是失衡的比例,现在使用正常的比例体现,DAI在池中的占比提升,导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中;
8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性,导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次,并归还闪电贷,完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]
如出一辙,使用 HTTrack 复制了?https://polarbearsnft.com/(真实站点),同样地,只有一张静态图片摆设。
跟随上图的链接,我们来到?https://thedoodles.site,又是一个使用 HTTrack 的钓鱼站点,看来我们走进了钓鱼窝。
对比代码,又发现了新的钓鱼站点?https://themta.site,不过目前已无法打开。
通过搜索,发现与钓鱼站点 thedoodles.site 相关的 18 个结果。同时,钓鱼网站 2(https://acade.link/)也在列表里,同一伙子互相 Copy,广泛撒网。
同样,点击进去就直接弹出请求签名的窗口:
且授权内容与钓鱼站点 1 的一样:
Exchange:OpenSea V2 合约
Taker:子合约地址
先分析子合约地址(0xde6...45a),可以看到这个合约地址已被 MistTrack 标记为高风险钓鱼地址。
接着,我们使用 MistTrack 分析该合约的创建者地址(0x542...b56):
发现该钓鱼地址的初始资金来源于另一个被标记为钓鱼的地址(0x071...48E),再往上追溯,资金则来自另外三个钓鱼地址。
本文主要是说明了一种较为常见的 NFT 钓鱼方式,即子能够以 0 ETH(或任何代币)购买你所有授权的 NFT,同时我们顺藤摸瓜,扯出了一堆钓鱼网站。建议大家在尝试登录或购买之前,务必验证正在使用的 NFT 网站的 URL。同时,不要点击不明链接,也不要在不明站点批准任何签名请求,定期检查是否有与异常合约交互并及时撤销授权。最后,做好隔离,资金不要放在同一个钱包里。
原文标题:《「零元购」NFT 钓鱼分析》
撰文:Lisa
来源:ForesightNews
ForesightNews
个人专栏
阅读更多
金色早8点
Bress
财经法学
PANews
成都链安
链捕手
Odaily星球日报
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。