“零元購” NFT 釣魚分析_PPL

By：Lisa

據慢霧區情報，發現NFT?釣魚網站如下：

釣魚網站1：https://c01.host/

釣魚網站2：https://acade.link/

我們先來分析釣魚網站1：

進入網站連接錢包后，立即彈出簽名框，而當我嘗試點擊除簽名外的按鈕都沒有響應，看來只有一張圖片擺設。

我們先看看簽名內容：

Maker：用戶地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

CTFC專員提議設立“零售倡導辦公室”，以保護散戶加密投資者:9月29日消息，商品期貨交易專員（CFTC）Caroline Pham提議設立一個“零售倡導辦公室”，旨在擴大CFTC對投資者的保護職責，以保護散戶加密投資者。Pham以美國證券交易委員會（SEC）的投資者權益保護辦公室為藍本，表示這是促進客戶保護的“行之有效的方法”。

據悉，CFTC近期因其對Ooki DAO案件的“執法監管”而受到抨擊，社區將其與美國證券交易委員會處理正在進行的Ripple案件中的執法策略進行比較。[2022/9/29 22:39:20]

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查詢后顯示是OpenSeaV2合約地址。

可口可樂推出首款基于元宇宙元素設計的可樂產品“零糖字節”:金色財經報道，近日，可口可樂推出了首款基于元宇宙題材設計的可樂新款產品“零糖字節”（Coca-Cola Zero Sugar Byte）。可口可樂表示，“‘零糖字節’是一款跨越了數字與物理世界、融合時下熱門的元宇宙元素而設計的可樂。”

據悉，該款可樂目前面向部分拉丁美洲國家限量發售，隨后5月2日，在美國網上售賣，之后將于5月23日登陸中國零售市場。

同時，為了推廣新飲料，可口可樂與Epic Games合作，在廣受玩家歡迎的游戲“堡壘之夜”中創建了名為“Pixel Point”數字海島，通過掃碼“零糖字節”可樂罐體二維碼，玩家即能暢玩四款沉浸式互動挑戰小游戲。（同花順）[2022/4/7 14:09:59]

大概能看出，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能“買”走用戶的NFT。

Ripple CEO：XRP具有“零通脹動態”:金色財經報道，最近在接受CNBC采訪時，Ripple首席執行官Brad Garlinghouse聲稱，XRP具有“零通脹動態”。他說，Ripple擁有很多，但XRPL的共識算法阻止了更多代幣的創建。Garlinghouse稱，這與PoW加密貨幣不同，例如比特幣和以太坊等仍在被挖掘。當被問及美國證券交易委員會對Ripple提起的訴訟時，Garlinghouse重申了Ripple的辯護，即XRP并非投資合同，因為代幣的持有者無法擁有該公司的股份。此外，Garlinghouse繼續堅持Rippe并不控制XRP。[2021/5/27 22:47:52]

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

ZBG第四場“零門檻”FIL6Z申購活動已于8月5日11時開啟:據ZBG官方消息，ZBG第四場“零門檻”FIL6Z打折申購已于8月5日11:00開啟。本場申購將免除持倉ZT限制。申購額度10,000枚，申購價僅15USDT。約為市場價的7.5折。

據悉，五場申購活動結束后，本周內將會開放FIL6Z充提幣并上線交易對，成功申購的FIL6Z可在ZB、ZBG流通。詳情請咨詢ZBG官網。[2020/8/5]

查看源代碼，發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼，發現了釣魚網站多了以下內容：

查看此JS文件，又發現了一個釣魚站點https://polarbears.in。

如出一轍，使用HTTrack復制了https://polarbearsnft.com/，同樣地，只有一張靜態圖片擺設。

跟隨上圖的鏈接，我們來到?https://thedoodles.site，又是一個使用?HTTrack的釣魚站點，看來我們走進了釣魚窩。

對比代碼，又發現了新的釣魚站點https://themta.site，不過目前已無法打開。

通過搜索，發現與釣魚站點thedoodles.site相關的18個結果。同時，釣魚網站2也在列表里，同一伙騙子互相Copy，廣泛撒網。

再來分析釣魚站點2，同樣，點擊進去就直接彈出請求簽名的窗口：

且授權內容與釣魚站點1的一樣：

Maker：用戶地址

Exchange：OpenSeaV2合約

Taker：騙子合約地址

先分析騙子合約地址，可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。

接著，我們使用MistTrack分析該合約的創建者地址：

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址，再往上追溯，資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT，同時我們順藤摸瓜，扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前，務必驗證正在使用的NFT網站的URL。同時，不要點擊不明鏈接，也不要在不明站點批準任何簽名請求，定期檢查是否有與異常合約交互并及時撤銷授權。最后，做好隔離，資金不要放在同一個錢包里。

Tags：NFTHTTPLEPPLNFTG幣HTT幣Ampleforth Governance TokenAPPLEB價格

以太坊