区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

LANA:慢雾:29枚Moonbirds NFT被盗事件溯源分析_solana币

作者:

时间:

事件背景

5月25日,推特用户@0xLosingMoney称监测到ID为@Dvincent_的用户通过钓鱼网站p2peers.io盗走了29枚Moonbirds系列NFT,价值超70万美元,钓鱼网站目前已无法访问。该用户表示,域名sarek.fi和p2peers.io都曾在过去的黑客事件中被使用。

搜集相关信息

慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时,发现@Dvincent_就是黑客的Twitter账号,目前该账户已经被注销。而根据5月10日的记录,推特用户@just1n_eth就表示@Dvincent_曾与其联系交易BAYCNFT,但由于对方坚持使用p2peers.io,交易最后并未达成。

在该推特评论下用户@jbe61表示自己曾遇到同一个人并给出了对话截图:

5月25日晚,@0xLosingMoney继续在Twitter公布了黑客的钱包等相关信息。

下面是@0xLosingMoney给出的黑客地址:?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D?0x8e73fe4d5839c60847066b67ea657a67f42a0adf?0x6035B92fd5102b6113fE90247763e0ac22bfEF63?0xBf41EFdD1b815556c2416DcF427f2e896142aa53?0x29C80c2690F91A47803445c5922e76597D1DD2B6相关地址分析

慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

由于整个被盗事件都提到“p2peers.io”这个钓鱼网站,所以我们从此处开始入手。这个在芬兰某域名公司注册的p2peers网站已被暂停使用,我们最终在谷歌网页快照中寻找到了该网站首页的信息。

根据网页快照可以发现https://p2peers.io/的前端代码,其中主要的JS代码是“js/app.eb17746b.js”。由于已经无法直接查看JS代码,利用Cachedview网站的快照历史记录查到在2022年4月30日主要的JS源代码。

通过对JS的整理,我们查到了代码中涉及到的钓鱼网站信息和交易地址。在代码912行发现approve地址:0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

慢雾:NimbusPlatform遭遇闪电贷攻击,损失278枚BNB:据慢雾安全团队情报,2022 年 12 月 14 日, BSC 链上的NimbusPlatform项目遭到攻击,攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下:

1. 攻击者首先在 8 天前执行了一笔交易(0x7d2d8d),把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备;

2. 在 8 天后正式发起攻击交易(0x42f56d3),首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出;

3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取,奖励的计算是和 rate 的值正相关的,而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格,由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多;

4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利;

此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。[2022/12/14 21:44:29]

在代码3407行同样发现关于approve相关操作的地址:0xc9E39Ad832cea1677426e5fA8966416337F88749

我们开始分析这两个地址的交易记录:0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A0xc9E39Ad832cea1677426e5fA8966416337F88749首先在Etherscan查询发现0x7F7...b6A是一个恶意合约地址:

慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

而这个恶意合约的创建者是地址:0xd975f8c82932f55c7cef51eb4247f2bea9604aa3,发现这个地址有多笔NFT交易记录:

我们在NFTGO网站进一步查看,根据该地址目前NFT持有情况,发现被盗NFT目前都停留在此地址上还没有售出,总价值约为225,475美元。

而使用NFTSCAN发现NFT数量一共是21个,价值96.5枚ETH。

Kraken:在上海升级6个月之前,ETH 取消质押“不可用”:金色财经报道,在以太坊合并之后,一些用户想解除他们已经抵押的ETH,Kraken发布公告称,允许用户使用 Kraken Pro 应用程序质押和解除他们的加密货币资产。然而,在上海宣布升级到以太坊网络之前,似乎ETH不可用。此外,Kraken团队表示,以太坊基金会预计上海升级将在“合并后的 6-12 个月”进行。[2022/9/16 7:01:48]

继续使用MistTrack分析攻击者地址交易历史:

可以发现该地址的ETH交易次数并不多只有12次,余额只有0.0615枚ETH。

0xc9E39Ad832cea1677426e5fA8966416337F88749也是合约地址,合约创建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63,这个地址在@0xLosingMoney公布的黑客地址名单中也有提到。

使用MistTrack发现这个地址余额同样不多,入账有21笔而出账有97笔,其中已转出共106.2枚ETH。

查看入账和出账信息,可以发现多笔转到Tornado.Cash,说明黑客已经通过各种手法将盗来的币进行来转移。黑客使用moralis服务作恶

我们在JS代码409行发现使用到了域名为usemoralis.com的服务接口:

dYdX将于8月3日迁移服务器,停机大约两个小时:7月31日消息,dYdX表示,将于8月3日迁移服务器,从美国东部标准时间上午10点到下午12点,将有大约两个小时的停机时间;在此期间,用户将无法访问交易所,订单将无法成交。[2022/8/1 2:50:25]

其中2053端口是API地址,而2083端口则是后台登录地址。

通过查询发现usemoralis.com这个域名上有大量NFT相关网站,其中不少是属于钓鱼网站。通过谷歌搜索发现不少NFT的站点,并发现多个子域信息。

于是我们遍历和查询usemoralis.com的子域名,发现共存在3千多个相关子域站点部署在cloudflare上。

进一步了解我们发现这些站点都是来自moralis提供的服务:

moralis是一个专门提供针对Web3开发和构建DApps的服务。

我们发现注册后就可以得到接口地址和一个管理后台,这使得制作钓鱼网站作恶成本变得非常低。

发现后台并关联到钓鱼事件

继续分析JS代码,在368行发现有将受害者地址提交到网站域名为pidhnone.se的接口。

经过统计,域名为pidhnone.se的接口有:https://pidhnone.se/api/store/loghttps://pidhnone.se/api/self-spoof/https://pidhnone.se/api/address/https://pidhnone.se/api/crypto/进一步分析发现https://pidhnone.se/login其实是黑客操作的控制后台,用来管理资产等信息。

根据后台地址的接口拼接上地址,可以看到攻击地址和受害者的地址。

后台还存留关于图片信息和相关接口操作说明文字,可以看出来是非常明显的网站操作说明。

我们分析后台里面涉及的信息,如图片:https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7dhttps://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234这里面涉及黑客历史使用过的的钓鱼网站信息,如nftshifter.io:

以nftshifter.io这个钓鱼网站为例:

在Twitter上查找相关记录可以看到2022年3月25日有受害者访问过该钓鱼网站并公布出来。

使用相同的方式分析nftshifter.io:

得到JS源代码并进行分析:

可以发现同样也是采用moralis的服务和https://pidhnone.se/这个后台进行控制。其中相关的恶意地址:钓鱼者合约:0x8beebade5b1131cf6957f2e8f8294016c276a90f合约创建者:0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee创建合约时间:Mar-24-202209:05:33PM+UTC

同时我们发现与这个攻击者相同的恶意合约代码有9个:

随机看一个恶意合约0xc9E...749,创建者地址为0x6035B92fd5102b6113fE90247763e0ac22bfEF63:

相同的手法,都已经洗币。每个恶意合约上都已经有受害者的记录,此处不一一分析。我们再来看下受害者时间:

刚好是在攻击者创建恶意钓鱼之后,有用户上当受。攻击者已将NFT售出,变卖为ETH,我们使用MistTrack分析攻击者地址0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee:

可以看到51ETH已经转入Tornado.Cash洗币。同时,目前Twitter上攻击者的账户@nftshifter_io已经被冻结无法查看。总结

可以确认的是,攻击一直在发生,而且有成熟的产业链。截止到发文前黑客地址仍有新的NFT入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化,制作一个钓鱼模版就可以批量复制出大量不同NFT项目的钓鱼网站。当作恶成本变得非常低的时候,更需要普通用户提高警惕,加强安全意识,时刻保持怀疑,避免成为下一个受害者。如何避免陷入欺诈的境地?慢雾安全团队建议如下:1.不要点击来源不明的链接或附件,不要随意泄露您的助记词2.使用强密码并启用双重身份验证以保护您的帐户。3.不确定的情况下,向多方进行验证确认。4.不要在网上传输敏感信息,攻击者可以通过分析这些信息和数据向用户发送有针对性的网络钓鱼电子邮件。5.建议阅读:《区块链黑暗森林自救手册》

标签:NFTSOLSolanaLANANFT2$价格Solventsolana币价格solana币

波场热门资讯
LOCK:浅谈X2E崩盘模式:债务挤兑、无限寿命、人口失控_NFT

去年是链游的大年,阿蟹的爆火将P2E带上新高度,圈子内也一度出现了各种P2E项目。当时一位华语区投资人更是总结出了打金五绝:中神通$axs、东邪$raca、西#farmersworld、南帝$.

BLO:全面解析NFT生成艺术:历史、现状和价值_BLOCKS

作者:memeswap.bit#8864|鱼丸#5156顾问:TeferiChiu#8950|FriedWagyu#9974|Jer#1798特别致谢:ZombieClub 01 什么是生成艺术.

SOL:进击的Solana NFT:13个热门项目一览_sol币价格走势

虽然当今以太坊NFT在长足发展中已形成了生态帝国,但资产铸造和交易的高门槛及链上拥堵等问题也给予了其他区块链成长机遇.

UST:A&T Talk:LUNA崩盘会对整个行业有什么系统性的影响?_SUKUNA

如何看待LUNA崩盘,这是必然发生的吗?@Jun_Yu:Luna这个项目最早OK也投了。18年我当时在OK负责投资,跟当时Luna团队见过3次,两次在首尔一次在纽约.

ION:日本通过旨在保护加密货币投资者的稳定币法案,将在一年内生效_人民币稳定币

Odaily星球日报译者|念银思唐据彭博社周五报道,日本参议院刚刚通过了一项具有里程碑意义的法律,明确了稳定币的法律地位,本质上将其定义为数字货币.

ANN:新项目 | Spanning:做跨链“总代理”,实现无感的互操作性_PAN

在“多链未来”的Crypto叙事中,跨链方案已成为行业不可或缺的组件。从当前实际落地情况中总结,多数跨链服务仍聚焦在“资产跨链”上,即通过流动性置换、锁定+铸造/销毁、原子置换这三种常见方式,实.