NFT:慢雾：「0 元购」NFT 钓鱼网站分析_STA

不要点击不明链接，也不要在不明站点批准任何签名请求。

据慢雾区情报，发现NFT钓鱼网站如下：

钓鱼网站1：https://c01.host/

钓鱼网站2：https://acade.link/

我们先来分析钓鱼网站1：

进入网站连接钱包后，立即弹出签名框，而当我尝试点击除签名外的按钮都没有响应，看来只有一张图片摆设。

我们先看看签名内容：

Maker：用户地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

慢雾：Platypus再次遭遇攻击，套利者获取约5万美元收益:7月12日消息，SlowMist发推称，稳定币项目Platypus似乎再次收到攻击。由于在通过CoverageRatio进行代币交换时没有考虑两个池之间的价格差异，导致用户可以通过存入USDC然后提取更多USDT来套利，套利者通过这种方式套利了大约50,000美元USDC。[2023/7/12 10:50:27]

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查询后显示是OpenSeaV2合约地址。

大概能看出，这是用户签名NFT的销售订单，NFT是由用户持有的，一旦用户签名了此订单，子就可以直接通过OpenSea购买用户的NFT，但是购买的价格由子决定，也就是说子不花费任何资金就能「买」走用户的NFT。

慢雾：利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。

在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。

攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。[2023/5/21 15:17:00]

此外，签名本身是为攻击者存储的，不能通过Revoke.Cash或Etherscan等网站取消授权来废弃签名的有效性，但可以取消你之前的挂单授权，这样也能从根源上避免这种钓鱼风险。

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

慢雾：PREMINT攻击者共窃取约300枚NFT，总计获利约280枚ETH:7月18日消息，慢雾监测数据显示，攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT，卖出后总计获利约280枚ETH。此前报道，黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击，从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

查看源代码，发现这个钓鱼网站直接使用HTTrack工具克隆c-01nft.io站点。对比两个站点的代码，发现了钓鱼网站多了以下内容：

查看此JS文件，又发现了一个钓鱼站点?https://polarbears.in。

慢雾：警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报，近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，当前总损失约 431 万美金。

经过慢雾安全追踪分析确认，此次攻击为批量谷歌关键词广告投放钓鱼，用户在谷歌搜索如：astroport，nexus protocol，anchor protocol 等这些知名的 Terra 项目，谷歌结果页第一条看似正常的广告链接（显示的域名甚至是一样的）实为钓鱼网站。 一旦用户不注意访问此钓鱼网站，点击连接钱包时，钓鱼网站会提醒直接输入助记词，一旦用户输入并点击提交，资产将会被攻击者盗取。

慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接，减少使用常用钱包进行非必要的操作，避免不必要的资损。[2022/4/21 14:37:55]

如出一辙，使用HTTrack复制了?https://polarbearsnft.com/，同样地，只有一张静态图片摆设。

跟随上图的链接，我们来到?https://thedoodles.site，又是一个使用HTTrack的钓鱼站点，看来我们走进了钓鱼窝。

对比代码，又发现了新的钓鱼站点?https://themta.site，不过目前已无法打开。

通过搜索，发现与钓鱼站点thedoodles.site相关的18个结果。同时，钓鱼网站2也在列表里，同一伙子互相Copy，广泛撒网。

再来分析钓鱼站点2：

同样，点击进去就直接弹出请求签名的窗口：

且授权内容与钓鱼站点1的一样：

Maker：用户地址

Exchange：OpenSeaV2合约

Taker：子合约地址

先分析子合约地址，可以看到这个合约地址已被MistTrack标记为高风险钓鱼地址。

接着，我们使用MistTrack分析该合约的创建者地址：

发现该钓鱼地址的初始资金来源于另一个被标记为钓鱼的地址，再往上追溯，资金则来自另外三个钓鱼地址。

总结

本文主要是说明了一种较为常见的NFT钓鱼方式，即子能够以0ETH购买你所有授权的NFT，同时我们顺藤摸瓜，扯出了一堆钓鱼网站。建议大家在尝试登录或购买之前，务必验证正在使用的NFT网站的URL。同时，不要点击不明链接，也不要在不明站点批准任何签名请求，定期检查是否有与异常合约交互并及时撤销授权。最后，做好隔离，资金不要放在同一个钱包里。

原文标题：《「零元购」NFT钓鱼分析》

撰文：Lisa

来源：ForesightNews

标签：NFTHTTSTAKSTANFTALLBI价格htt币价格今日行情Ethereum Stake FinanceMarinade staked SOL

聚币热门资讯