NFT:当硬核黑客开始研究“钓鱼” 你的NFT还安全吗？_CHTT

前有周杰伦无聊猿NFT被钓鱼攻击，损失超300万人民币。

后有全球最大的NFT交易平台之一OpenSea大批用户遭遇钓鱼攻击，多人资产受损。

可见Web3世界黑客依然猖狂作祟，为了打击黑客嚣张的气焰，我们将为大家持续输出干货系列文章，教导大家NFT防技巧。

本文研究了两类典型的NFT的钓鱼攻击，一类是盗取用户签名的钓鱼攻击，如：Opensea钓鱼邮件事件；一类是高仿域名和内容的NFT钓鱼网站。跟我们一起看看

「盗取用户签名的钓鱼」

2022年2月21日，全球最大的加密数字藏品市场Opensea遭遇黑客攻击。根据Opensea官方回复，有部分用户由于签署了给黑客的授权而导致用户NFT被盗。

我们将本次事件再次复现一下，在本次事件攻击事件中，攻击者信息如下：

攻击者地址：

0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻击者合约：

0xa2c0946ad444dccf990394c5cbe019a858a945bd

攻击者获得相关NFT的交易具体如下图所示：

TrueUSD的自动证明目前已暂停:金色财经报道，由于余额问题，TrueUSD的自动证明目前已暂停。该系统由The Network Firm为 TrueUSD提供，包括一个ripcord功能，如果出现可能影响生成证明能力的问题，该功能会通知用户。目前，余额ripcord处于活动状态，根据Archblock的说法，这意味着在上一个报告间隔期间，LedgerLens系统收到来自第三方系统或账户的响应、错误或无响应，导致负债总额为大于相关资产的总和。[2023/6/21 21:51:05]

针对其中一笔交易进行分析，

0xee038a31ab6e3f06bd747ab9dd0c3abafa48a51e969bcb666ecd3f22ff989589，具体内容如下：

由上图可知，攻击者是获得了用户的授权，之后直接调用transferfrom方法将用户的NFT盗走。

英国财政大臣：英国央行认为硅谷银行倒闭事件不会造成系统性风险:金色财经报道，英国财政大臣亨特：英国央行认为硅谷银行倒闭事件不会造成系统性风险。[2023/3/12 12:58:28]

根据Opensea的CEODevinFinzer发布的twitter，攻击者是通过钓鱼的方式获取到用户在Opensea上的挂单授权。

通过分析攻击交易，黑客攻击主要分为以下三个步骤。

1.构造正确的待签名交易；

2.诱用户点击授权；

3.获取用户签名后构造攻击合约盗取用户NFT。

步骤一?

首先对攻击者构建的交易签名内容进行分析，跟踪函数调用栈发现具体的签名信息如下：

由上图可知，签名的计算方式为：keccak256("\x19EthereumSignedMessage:\n32",hashOrder(order))；这种签名方式会在order前再加一个消息前缀：’\x19EthereumSignedMessage:\n32’，以确保改签名不能在以太坊之外使用。之后将加上消息前缀的完整数据再计算keccak256值，最后用私钥进行签名。

加密艺术家NessGraphics的NFT项目完成超2万枚铸造共募集1404枚ETH:1月30日，据相关页面信息，加密艺术家 NessGraphics.eth 的 NFT 项目“M0N3Y PR1NT3R G0 BRRRRRR”昨日在 NFT 平台 Manifold.xyz 上启动，目前已完成 20357 枚铸造，按照 0.069 ETH 的铸造价格计算总计募集 1404.6 ETH，约合 220 万美元。

“BRRRRRR”是 NessGraphics.eth 推出的 Open Editon NFT 艺术作品，Open Edition NFT 没有明确供应量上限，用户可以在特定时间范围内铸造尽可能多的 Token，与其他开放版本 NFT 项目一样，“BRRRRRR”将采用销毁机制，每次销毁需要 5 个 Token，用户可以销毁“海报”版本 NFT 来获得级别更高的“动画”版本 NFT。[2023/1/30 11:36:44]

但是该方式仅能声明所有权，无法防止重放攻击。如：用户A签署了消息发送给合约M，另一用户B可以将这个签名重放给合约N。下图为订单签名中具体涉及到的信息。

其中涉及到的签名主要参数为：

Side：买入或卖出

paymentToken：用于支付订单的代币类型

basePrice：订单中NFT的价格

maker：订单发出地址

taker：接收订单的目标地址

上述签名信息中包含订单金额、目标地址等敏感信息，但是经过keccak256计算Hash后的值只是一串二进制字符串，用户无法识别。

Valkyrie Funds宣布将其资产负债表机会 ETF 清算和退市:金色财经报道，加密资产管理公司 Valkyrie Funds 周二宣布，将清算和解散其 Valkyrie 资产负债表机会基金（纳斯达克代码：VBB），这是一种以比特币牛市为重点的投资工具，自2021 年 12 月以来在纳斯达克交易。

VBB中最大的头寸是特斯拉 和 MicroStrategy，这两家公司以在资产负债表上持有比特币而闻名，目前基金管理的净资产规模仅为 570,000 美元左右。 Valkyrie表示，VBB基金将在 10 月 31 日清算，清算后将从纳斯达克交易所退市，任何在清算时仍持有基金份额的用户将获得等于其持仓净资产值 (NAV) 的现金分配。[2022/10/12 10:31:39]

攻击者根据上述Order信息构造签名，可以随意将上述签名中涉及到的basePrice参数金额设置为0，接收地址设置为自己等。

步骤二?

攻击者构造好待签名数据后就可以诱用户点击授权。由于签名的元数据是经过Keccak256计算后得到的包含0x的66个十六进制字符，用户无法得知其代表的具体含义，因此可能直接点击签名，使得攻击者获得了用户的挂单授权。

上图中的签名对于用户来说类似盲签，即所签的消息内容对签名人来说是盲的，签名人不能看见消息的具体内容。

步骤三?

在步骤二中攻击者获取到ECDSA签名消息中的R、S、V值，即可利用其构造攻击合约盗取用户NFT。下图为OpenSea:WyvernExchangev1合约中验证order的函数validateOrder()，具体源码如下：

“Shiba Inu”谷歌搜索量下降至一年多以来低点:7月26日消息，投资者对Shiba Inu（SHIB）的兴趣目前与2021年的趋势形成了对比。数据显示，在过去的12个月里，全球范围内包含关键词“Shiba Inu”的谷歌搜索量在7月份下降到了一年多来的最低水平。

7月10日至16日这一周，Shiba Inu的搜索热度得分为4分（满分为100分），这是自2021年5月1日以来的最低水平。就在线搜索人数而言，SHIB最近的兴趣指数是5。

有趣的是，尽管全球范围内对Shiba Inu的兴趣有所下降，但某些国家仍对其仍表现出兴趣。荷兰投资者以100分高居榜首，美国投资者以98分紧随其后。尼日利亚、加拿大和澳大利亚的分数分别为89、84和81。（Finbold）[2022/7/26 2:39:07]

由源码可知，订单验证首先会校验order的有效性和是否包含有效参数，接着校验订单是否曾经通过链上校验。其中approvedOrders是一个mapping变量，该变量保存了所有已经通过链上批准验证的订单。如果订单曾经校验过则直接返回true，无需再使用ecrecover()校验ECDSA签名，以便智能合约可以直接下订单。

以下是其中一笔NFT盗取交易，可以发现攻击者利用用户签名通过调用攻击者合约：

0xa2c0946ad444dccf990394c5cbe019a858a945bd，以0ether的价格盗取了用户的NFT。

「高仿域名的NFT钓鱼」

这一类的钓鱼网站主要是对NFT项目官网的域名和内容等进行几乎一致的模仿，一般会先连接用户钱包查询用户余额之后，再进行其他诱操作。这种钓鱼网站是最常见的，主要分为以下几种类型：

1仅更换原官网的顶级域名

案例一

官网：https://invisiblefriends.io/

钓鱼网站：https://invisiblefriends.ch/

查看钓鱼网站的网页源码，可以发现如下攻击地址：

查看

0xEcAcDb9FA4Ed4ACD8977821737da7bCe688be1e0的相关交易：

可以发现上述两笔交易是攻击者获取到的收益。

案例二

官网：https://cyberbrokers.io/

钓鱼网站：https://cyberbrokers.live/

查看钓鱼网站源码，发现如下攻击地址：

综上，该类事件主要是因为用户在签署交易签名时，由于签署的交易内容是加密后的字符串，导致用户无法直观的看到签署交易的具体内容，习惯性的点击确认，从而造成攻击者获取到用户的卖单权授权，盗走用户的NFT。

2主域名添加单词或符号进行混淆

有的钓鱼网站会在主域名添加单词或符号进行混淆，比如othersidemeta-airdrop、otherside-refunds.xyz等。

官网：https://otherside.xyz/

钓鱼网站：http://othersidemeta-airdrop.com/

查看钓鱼网站源码，发现页面存在setApprovalForAll()函数，该函数会授权_operator具有所有代币的控制权。如果用户授权了攻击者，则用户账号中所有的NFT将会被盗走。

3添加二级域名进行混淆

有的钓鱼网站会添加二级域名进行混淆，进行钓鱼。

?

官网：https://www.okaybears.com/

钓鱼网站：https://okaybears.co.uk/?

查看网页源码，根据solanaweb3的官方文档API，确认如下地址为攻击地址：

在如今钓鱼事件频发的情况下，用户需提高安全意识，保护自己。以下是我们的安全建议：

1签名时应当明确签署的交易内容，包括交易价格、交易地址等信息，如下图红框处内容所示：

如果存在签署内容仅为二进制字符串内容等无法明确的内容，请勿签署。

2切勿点击任何邮件中的链接、附件，或输入任何个人信息。

3访问NFT官网时，一般在官网右上角等处会显示官方twitter、discord等社交帐号，需在官方账号上确认官网地址。

4安装钓鱼插件，可辅助识别部分钓鱼网站。比如下面这一款

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

标签：NFTORDOPENHTTCLOCK Vault (NFTX)JORDANOpen LinkCHTT

SHIB热门资讯