据慢雾区情报,发现 NFT 项目 verb 钓鱼网站如下:
钓鱼网站 1:https://mint-here.xyz/verblabs.html
钓鱼网站 2:https://verb-mint.netlify.app
我们先来分析钓鱼网站 1:
查看源代码,发现这个钓鱼网站直接使用 HTTrack 工具克隆
http://opensea-live.com/limited-sale/verblabsofficial/ 站点(钓鱼网站 3)。
此被克隆的站点非常可疑,似乎也是钓鱼网站。
慢雾:LendHub疑似被攻击损失近600万美金,1100枚ETH已转移到Tornado Cash:金色财经报道,据慢雾区情报,HECO生态跨链借贷平台LendHub疑似被攻击,主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后,将部分资金跨链到Heco链展开攻击后获利,后使用多个平台(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨链或兑换被盗资金。截至目前,黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析,慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]
慢雾:靓号黑客已获取到ParaSwap Deployer和QANplatform Deployer私钥权限:10月11日消息,据慢雾区情报,靓号黑客地址之一(0xf358..7036)已经获取到ParaSwap Deployer和QANplatform Deployer私钥权限。黑客从ParaSwap Deployer地址获取到约1千美元,并在QANplatform Deployer地址做了转入转出测试。慢雾MistTrack对0xf358..7036分析后发现,黑客同样盗取了The SolaVerse Deployer及其他多个靓号的资金。截止目前,黑客已经接收到超过17万美元的资金,资金没有进一步转移,地址痕迹有Uniswap V3、Curve、TraderJoe,PancakeSwap、OpenSea和Matcha。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:05]
再来看下钓鱼网站 2:
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
慢雾:Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息,Badger DAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。据慢雾MistTrack分析,截止目前黑客已将获利的加密货币换成 renBTC,并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]
这三个站点仿佛都是一个模版生成出来的。
对照三个钓鱼网站分别揪出钓鱼地址:
钓鱼地址 1:0xe7b2AAa70D6133c78006A078b95dF8Be3613385E
钓鱼地址 2:0xa096356DeB502d1F5670A2E26a645eA4dbAA4741
动态 | 慢雾:9 月共发生 12 起较典型的安全事件,供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件,包括:EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外,慢雾区块链威胁情报(BTI)系统监测发现,针对区块链生态的供应链攻击越来越多,形如:去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击,还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入,进行实施盗币攻击。[2019/10/1]
钓鱼地址 3:0x80eE5caDf0f04058b9dF853017542Ab3dF9D88d7
先分析钓鱼地址 1 (0xe7b…85E):
发现地址 satrialingga.eth?转入过两笔 ETH,分别是 0.063 和 0.126。
随后在 Twitter 上找到了用户 /img/2022812222741/5.jpg">
?(https://twitter.com/satrialingga_/status/1529776369533480961)
根据用户 /img/2022812222741/6.jpg">
子直接留了个钓鱼形象的 NFT 图片,生怕别人认不出来这是钓鱼网站么?
接着,我们使用 MistTrack 分析钓鱼地址 1:
发现盗来的钱基本被立马转走。
查看交易数较大的这个地址:
0x7068626254842b0e836a257e034659fd1f211480:
该地址初始资金来自 TornadoCash 转入的两笔 1 ETH,总共收到约 37 ETH,并通过 189 笔转出洗币,有从 Binance 提币和入金的交易记录。
接着,我们来分析钓鱼网站 2。
发现地址 2(0xa09…741)将盗来的大部分 ETH 都被换成 USDT,并转到地址0xf44c65d285d6282c36b85e6265f68a2876bf0d39,目前未转移。
来看看最后一个钓鱼网站3:
经 MistTrack 分析,地址 3 (0x80e…8d7) 共收到约 5.5 ETH,入金交易有 53 笔,看来被的人挺多。
继续追踪,发现大部分 ETH 转入 Binance 地址
0x2ae27a28ffa6b08d4568133632268d1335e26996:
此地址在 MistTrack 的风险等级为高风险,共收到约 76 ETH。
以上就是本次关于 Verb 钓鱼网站的全部分析内容。
总结
本文主要是说明了由两个小钓鱼网站分析出一个大钓鱼网站的事件。NFT 钓鱼网站层出不穷,制作成本非常低,已经形成流程化专业化的产业链,这些子通常直接使用一些工具去 copy 比较出名的 NFT 项目网站,诱用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试登录或购买之前,务必验证正在使用的 NFT 网站的 URL。同时,不要点击不明链接,尽量通过官方网页或者官方的媒体平台去加入 Discord 等,这也能避免一些钓鱼。
By:耀&Lisa
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。