事件背景??
5 月 25 日,推特用戶?@0xLosingMoney?稱監測到 ID 為?@Dvincent_?的用戶通過釣魚網站 p2peers.io 盜走了 29 枚 Moonbirds 系列 NFT,價值超 70 萬美元,釣魚網站目前已無法訪問。該用戶表示,域名 sarek.fi 和 p2peers.io 都曾在過去的黑客事件中被使用。??
推特原文
慢霧安全團隊收到相關情報并針對此次被盜事件進行朔源分析。
我們開始在 Twitter 上搜集并分析此釣魚事件的相關信息時,發現?@Dvincent_?就是黑客的 Twitter 賬號,目前該賬戶已經被注銷。而根據 5 月 10 日的記錄,推特用戶?@just1n_eth(BAYC 系列 NFT 持有者)就表示?@Dvincent_?曾與其聯系交易 BAYC NFT,但由于對方堅持使用 p2peers.io,交易最后并未達成。??
在該推特評論下用戶 @jbe61 表示自己曾遇到同一個人并給出了對話截圖:??
5 月 25 日晚,@0xLosingMoney?繼續在 Twitter 公布了黑客的錢包等相關信息。??
下面是?@0xLosingMoney?給出的黑客地址:
· 0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D
· 0x8e73fe4d5839c60847066b67ea657a67f42a0adf
· 0x6035B92fd5102b6113fE90247763e0ac22bfEF63
慢霧:過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息,據慢霧發推稱,過去一周Web3生態系統因安全事件損失約2400萬美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital,總計23,795,800美元。[2023/6/19 21:46:18]
· 0xBf41EFdD1b815556c2416DcF427f2e896142aa53
· 0x29C80c2690F91A47803445c5922e76597D1DD2B6
由于整個被盜事件都提到「p2peers.io」這個釣魚網站,所以我們從此處開始入手。這個在芬蘭某域名公司注冊的 p2peers 網站已被暫停使用,我們最終在谷歌網頁快照中尋找到了該網站首頁的信息。??
根據網頁快照可以發現?https://p2peers.io/?的前端代碼,其中主要的 JS 代碼是「js/app.eb17746b.js」。
由于已經無法直接查看 JS 代碼,利用?Cachedview?網站的快照歷史記錄查到在 2022 年 4 月 30 日主要的 JS 源代碼。
通過對 JS 的整理,我們查到了代碼中涉及到的釣魚網站信息和交易地址。
在代碼 912 行發現 approve 地址:
0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A
慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]
在代碼 3407 行同樣發現關于 approve 相關操作的地址:
0xc9E39Ad832cea1677426e5fA8966416337F88749
我們開始分析這兩個地址的交易記錄:
首先在 Etherscan 查詢發現 0x7F7...b6A?是一個惡意合約地址:
而這個惡意合約的創建者(攻擊者)是地址:
0xd975f8c82932f55c7cef51eb4247f2bea9604aa3,發現這個地址有多筆 NFT 交易記錄:
我們在 NFTGO 網站進一步查看,根據該地址目前 NFT 持有情況,發現被盜 NFT 目前都停留在此地址上還沒有售出,總價值約為 225,475 美元。??
慢霧:Lendf.Me攻擊者剛歸還了126,014枚PAX:慢霧安全團隊從鏈上數據監測到,Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)轉賬126,014枚PAX,并附言\"Better future\"。隨后Lendf.Me平臺admin賬戶通過memo回復攻擊者并帶上聯系郵箱。此外,Lendf.Me攻擊者錢包地址收到一些受害用戶通過memo求助。[2020/4/20]
而使用 NFTSCAN 發現 NFT 數量一共是 21 個,價值 96.5 枚 ETH。??
繼續使用 MistTrack 分析攻擊者地址交易歷史:??
可以發現該地址的 ETH 交易次數并不多只有 12 次,余額只有 0.0615 枚 ETH。??
0xc9E39Ad832cea1677426e5fA8966416337F88749 也是合約地址,合約創建者是 0x6035B92fd5102b6113fE90247763e0ac22bfEF63,這個地址在 @0xLosingMoney 公布的黑客地址名單中也有提到。??
使用?MistTrack 發現這個地址余額同樣不多,入賬有 21 筆而出賬有?97 筆,其中已轉出共?106.2 枚?ETH。??
慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]
查看入賬和出賬信息,可以發現多筆轉到 Tornado.Cash,說明黑客已經通過各種手法將盜來的幣進行來轉移。
我們在 JS 代碼 409 行發現使用到了域名為 usemoralis.com 的服務接口:
其中 2053 端口是 API 地址,而 2083 端口則是后臺登錄地址。??
通過查詢發現 usemoralis.com 這個域名上有大量 NFT 相關網站,其中不少是屬于釣魚網站。
通過谷歌搜索發現不少 NFT 的站點,并發現多個子域信息。
于是我們遍歷和查詢 usemoralis.com 的子域名,發現共存在 3 千多個相關子域站點部署在 cloudflare 上。??
動態 | 慢霧: 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張,有攻擊者開始利用交易所/DApp提幣功能惡意挖礦,請交易所/DApp在處理EOS及EOS上Token的提幣時,注意檢查用戶提幣地址是否是合約賬號,建議暫時先禁止提幣到合約賬號,避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時,需要注意部分交易所的EOS充值錢包地址也是合約賬號,需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]
進一步了解我們發現這些站點都是來自 moralis 提供的服務:??
moralis 是一個專門提供針對 Web3 開發和構建 DApps 的服務。??
我們發現注冊后就可以得到接口地址和一個管理后臺,這使得制作釣魚網站作惡成本變得非常低。
繼續分析 JS 代碼,在 368 行發現有將受害者地址提交到網站域名為 pidhnone.se 的接口。
經過統計,域名為 pidhnone.se 的接口有:
· https://pidhnone.se/api/store/log
· https://pidhnone.se/api/self-spoof/
· https://pidhnone.se/api/address/
· https://pidhnone.se/api/crypto/
進一步分析發現 https://pidhnone.se/login 其實是黑客操作的詐騙控制后臺,用來管理詐騙資產等信息。
根據后臺地址的接口拼接上地址,可以看到攻擊地址和受害者的地址。??
后臺還存留關于圖片信息和相關接口操作說明文字,可以看出來是非常明顯的詐騙網站操作說明。??
我們分析后臺里面涉及的信息,如圖片:
https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8
https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6
https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042
https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30
https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d
https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234
這里面涉及黑客歷史使用過的的釣魚網站信息,如 nftshifter.io:??
以 nftshifter.io 這個釣魚網站為例:??
在 Twitter 上查找相關記錄可以看到 2022 年 3 月 25 日有受害者訪問過該釣魚網站并公布出來。??
使用相同的方式分析? nftshifter.io:??
得到?JS?源代碼并進行分析:??
可以發現同樣也是采用 moralis 的服務和 https://pidhnone.se/ 這個詐騙后臺進行控制。
其中相關的惡意地址:
釣魚者合約:
0x8beebade5b1131cf6957f2e8f8294016c276a90f
合約創建者:
0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee
創建合約時間:
Mar-24-2022 09:05:33 PM +UTC?
同時我們發現與這個攻擊者相同的惡意合約代碼有 9 個:??
隨機看一個惡意合約 0xc9E...749,創建者地址為
0x6035B92fd5102b6113fE90247763e0ac22bfEF63:
相同的手法,都已經洗幣。每個惡意合約上都已經有受害者的記錄,此處不一一分析。
我們再來看下受害者時間:??
剛好是在攻擊者創建惡意釣魚之后,有用戶上當受騙。
攻擊者已將 NFT 售出,變賣為 ETH,我們使用 MistTrack 分析攻擊者地址
0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee:
可以看到 51 ETH 已經轉入 Tornado.Cash 洗幣。同時,目前?Twitter 上攻擊者的賬戶?@nftshifter_io?已經被凍結無法查看。
可以確認的是,攻擊一直在發生,而且有成熟的產業鏈。截止到發文前黑客地址仍有新的 NFT 入賬和交易進行。黑客進行釣魚攻擊往往已成規模化批量化,制作一個釣魚模版就可以批量復制出大量不同 NFT 項目的釣魚網站。當作惡成本變得非常低的時候,更需要普通用戶提高警惕,加強安全意識,時刻保持懷疑,避免成為下一個受害者。
來源:慢霧科技
作者:山哥&耀,慢霧安全團隊
頭條 ▌巴西央行行長內托:巴西將監管加密貨幣經紀商6月1日消息,巴西央行行長內托:巴西將監管加密貨幣經紀商.
1900/1/1 0:00:00想要創建一個充滿吸引力、真實的元宇宙,需要傾聽社區的聲音并從中學習,釋放想象力,在大眾的引導下創造新的沉浸式體驗.
1900/1/1 0:00:00原文標題:《世界上最高效的市場運行在區塊鏈》區塊鏈技術帶來創新,這種創新的本質往往在公眾爭論中消失了——爭論集中在對區塊鏈的負面看法.
1900/1/1 0:00:00本文以數據驅動的方式解釋了為什么STEPN牛市案例的論點不會阻止GMT、GST的運動鞋價格暴跌.
1900/1/1 0:00:002022 年 3 月,普華永道發布了 2022 年度全球央行數字貨幣(Central Bank Digital Currency,簡稱 CBDC)指數報告.
1900/1/1 0:00:00在2022年5月的下半月最大的一筆投融就是KaJ Labs通過銷售LITHO Token完成4億美元融資,KaJ Labs是一家專注于人工智能和區塊鏈技術的去中心化研究機構.
1900/1/1 0:00:00