事件背景
5月25日,推特用户/img/20230508192514146697/1.jpg "/>
搜集相关信息
慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时,发现/img/20230508192514146697/2.jpg "/>
在该推特评论下用户/img/20230508192514146697/3.jpg "/>
5月25日晚,/img/20230508192514146697/4.jpg "/>
下面是/img/20230508192514146697/5.jpg "/>
慢雾:Platypus再次遭遇攻击,套利者获取约5万美元收益:7月12日消息,SlowMist发推称,稳定币项目Platypus似乎再次收到攻击。由于在通过CoverageRatio进行代币交换时没有考虑两个池之间的价格差异,导致用户可以通过存入USDC然后提取更多USDT来套利,套利者通过这种方式套利了大约50,000美元USDC。[2023/7/12 10:50:27]
根据网页快照可以发现https://p2peers.io/的前端代码,其中主要的JS代码是“js/app.eb17746b.js”。由于已经无法直接查看JS代码,利用Cachedview网站的快照历史记录查到在2022年4月30日主要的JS源代码。
通过对JS的整理,我们查到了代码中涉及到的钓鱼网站信息和交易地址。在代码912行发现approve地址:0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A
在代码3407行同样发现关于approve相关操作的地址:0xc9E39Ad832cea1677426e5fA8966416337F88749
我们开始分析这两个地址的交易记录:0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A0xc9E39Ad832cea1677426e5fA8966416337F88749首先在Etherscan查询发现0x7F7...b6A是一个恶意合约地址:
慢雾:从Multichain流出的资金总额高达2.65亿美元,分布在9条链:金色财经报道,自7月7日以来,从 Multichain 流出的资金总额高达 2.65 亿美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 链。其中 6582 万美元已经被 Circle 和 Tether 冻结,1,296,990.99 ICE(约 162 万美元) 被 Token 发行方 Burn。流出的资金中,包括:
1)从 Multichain: Old BSC Bridge 转出的 USDT;
2)从 Multichain: Fantom Bridge 转出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;
3)从 Anyswap: Bridge Fantom 转出的 BIFI;
4)从 Multichain: Moonriver Bridge 转出的 USDC、USDT、DAI、WBTC;
5)从 MultiChain: Doge Bridge 转出的 USDC;
6)从 Multichain: Executor 转出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;
7)从被 Etherscan 标记为 Fake_Phishing183873 的 0xe1910...49c53 转出的 WBTC、USDT、ETH,同时我们认为该标记(Fake Phishing183873)或许是 Etherscan 上的虚假标记,地址可能以前属于 Multichain 官方账户。[2023/7/11 10:48:30]
而这个恶意合约的创建者是地址:0xd975f8c82932f55c7cef51eb4247f2bea9604aa3,发现这个地址有多笔NFT交易记录:
我们在NFTGO网站进一步查看,根据该地址目前NFT持有情况,发现被盗NFT目前都停留在此地址上还没有售出,总价值约为225,475美元。
而使用NFTSCAN发现NFT数量一共是21个,价值96.5枚ETH。
慢雾:共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息,慢雾首席信息安全官23pds发推表示,针对共享Apple ID导致资产被盗现象,核心问题是应用没有和设备码绑定,目前99%的钱包、交易App等都都存在此类问题,没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行,攻击者在配合其他手法如社工、爆破等获取的密码,导致资产被盗。23pds提醒用户不要使用共享Apple ID等,同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]
继续使用MistTrack分析攻击者地址交易历史:
可以发现该地址的ETH交易次数并不多只有12次,余额只有0.0615枚ETH。
0xc9E39Ad832cea1677426e5fA8966416337F88749也是合约地址,合约创建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63,这个地址在/img/20230508192514146697/18.jpg "/>
使用MistTrack发现这个地址余额同样不多,入账有21笔而出账有97笔,其中已转出共106.2枚ETH。
查看入账和出账信息,可以发现多笔转到Tornado.Cash,说明黑客已经通过各种手法将盗来的币进行来转移。黑客使用moralis服务作恶
我们在JS代码409行发现使用到了域名为usemoralis.com的服务接口:
慢雾:攻击Ronin Network的黑客地址向火币转入3750枚 ETH:3月30日消息,慢雾发推称,攻击Axie Infinity侧链Ronin Network的黑客地址向交易所火币转入3750枚ETH。此前金色财经报道,Ronin桥被攻击,17.36万枚ETH和2550万USDC被盗。[2022/3/30 14:26:38]
其中2053端口是API地址,而2083端口则是后台登录地址。
通过查询发现usemoralis.com这个域名上有大量NFT相关网站,其中不少是属于钓鱼网站。通过谷歌搜索发现不少NFT的站点,并发现多个子域信息。
于是我们遍历和查询usemoralis.com的子域名,发现共存在3千多个相关子域站点部署在cloudflare上。
进一步了解我们发现这些站点都是来自moralis提供的服务:
moralis是一个专门提供针对Web3开发和构建DApps的服务。
慢雾:Furucombo被盗资金发生异动,多次使用1inch进行兑换:据慢雾MistTrack,2月28日攻击Furucombo的黑客地址(0xb624E2...76B212)于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH,并将147ETH从Compound转入到自己的地址,截至目前该黑客地址余额约170万美元,另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]
我们发现注册后就可以得到接口地址和一个管理后台,这使得制作钓鱼网站作恶成本变得非常低。
发现后台并关联到钓鱼事件
继续分析JS代码,在368行发现有将受害者地址提交到网站域名为pidhnone.se的接口。
经过统计,域名为pidhnone.se的接口有:https://pidhnone.se/api/store/loghttps://pidhnone.se/api/self-spoof/https://pidhnone.se/api/address/https://pidhnone.se/api/crypto/进一步分析发现https://pidhnone.se/login其实是黑客操作的控制后台,用来管理资产等信息。
根据后台地址的接口拼接上地址,可以看到攻击地址和受害者的地址。
后台还存留关于图片信息和相关接口操作说明文字,可以看出来是非常明显的网站操作说明。
我们分析后台里面涉及的信息,如图片:https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7dhttps://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234这里面涉及黑客历史使用过的的钓鱼网站信息,如nftshifter.io:
以nftshifter.io这个钓鱼网站为例:
在Twitter上查找相关记录可以看到2022年3月25日有受害者访问过该钓鱼网站并公布出来。
使用相同的方式分析nftshifter.io:
得到JS源代码并进行分析:
可以发现同样也是采用moralis的服务和https://pidhnone.se/这个后台进行控制。其中相关的恶意地址:钓鱼者合约:0x8beebade5b1131cf6957f2e8f8294016c276a90f合约创建者:0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee创建合约时间:Mar-24-202209:05:33PM+UTC
同时我们发现与这个攻击者相同的恶意合约代码有9个:
随机看一个恶意合约0xc9E...749,创建者地址为0x6035B92fd5102b6113fE90247763e0ac22bfEF63:
相同的手法,都已经洗币。每个恶意合约上都已经有受害者的记录,此处不一一分析。我们再来看下受害者时间:
刚好是在攻击者创建恶意钓鱼之后,有用户上当受。攻击者已将NFT售出,变卖为ETH,我们使用MistTrack分析攻击者地址0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee:
可以看到51ETH已经转入Tornado.Cash洗币。同时,目前Twitter上攻击者的账户@nftshifter_io已经被冻结无法查看。总结
可以确认的是,攻击一直在发生,而且有成熟的产业链。截止到发文前黑客地址仍有新的NFT入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化,制作一个钓鱼模版就可以批量复制出大量不同NFT项目的钓鱼网站。当作恶成本变得非常低的时候,更需要普通用户提高警惕,加强安全意识,时刻保持怀疑,避免成为下一个受害者。如何避免陷入欺诈的境地?慢雾安全团队建议如下:1.不要点击来源不明的链接或附件,不要随意泄露您的助记词2.使用强密码并启用双重身份验证以保护您的帐户。3.不确定的情况下,向多方进行验证确认。4.不要在网上传输敏感信息,攻击者可以通过分析这些信息和数据向用户发送有针对性的网络钓鱼电子邮件。5.建议阅读:《区块链黑暗森林自救手册》
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。