“零元购” NFT 钓鱼分析

By:Lisa

据慢雾区情报,发现NFT?钓鱼网站如下:

钓鱼网站1:https://c01.host/

钓鱼网站2:https://acade.link/

我们先来分析钓鱼网站1:

进入网站连接钱包后,立即弹出签名框,而当我尝试点击除签名外的按钮都没有响应,看来只有一张图片摆设。

我们先看看签名内容:

Maker:用户地址

Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a

Frax Finance 的创始人:稳定币生态增长不是“零和游戏”,各项目需要合作增加流动性:7月25日消息,Frax Finance的创始人Sam Kazemian表示,只要稳定币通过共享流动性池和抵押计划“流动性相互成比例地增长”,稳定币之间就永远不会存在真正的竞争。Kazemian解释说,稳定币生态系统的增长并不是一场“零和游戏”,因为每个代币都越来越相互交织并依赖于彼此的表现。

Kazemian认为USDC在整个行业以及其储备的更高透明度应该使其成为生态系统内合作最有价值的稳定币。 他称USDC是一个“低风险和低创新的项目”,并承认它是其他稳定币进一步创新的基础层。尽管FRAX稳定币在算法上是部分稳定的,但Kazemian表示纯算法稳定币“根本行不通”。(Cointelegraph)[2022/7/25 2:35:50]

Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查询后显示是OpenSeaV2合约地址。

可口可乐推出首款基于元宇宙元素设计的可乐产品“零糖字节”:金色财经报道,近日,可口可乐推出了首款基于元宇宙题材设计的可乐新款产品“零糖字节”(Coca-Cola Zero Sugar Byte)。可口可乐表示,“‘零糖字节’是一款跨越了数字与物理世界、融合时下热门的元宇宙元素而设计的可乐。”

据悉,该款可乐目前面向部分拉丁美洲国家限量发售,随后5月2日,在美国网上售卖,之后将于5月23日登陆中国零售市场。

同时,为了推广新饮料,可口可乐与Epic Games合作,在广受玩家欢迎的游戏“堡垒之夜”中创建了名为“Pixel Point”数字海岛,通过扫码“零糖字节”可乐罐体二维码,玩家即能畅玩四款沉浸式互动挑战小游戏。(同花顺)[2022/4/7 14:09:59]

稳定币初创公司Liquity计划实施“零治理”:金色财经报道,即将启动的稳定币初创公司Liquity计划实施“零治理”。最值得注意的是,Liquity的智能合约将根据需要进行调整(不需要由代币持有者组成的治理委员会)。Liquity将没有治理代币,但仍计划使用流动性挖掘来促进早期采用。其提供了一个“增长代币”(GT),持有者将持续通过Liquity费用获得少量收益。最近的电话会议尚未解决有关Liquity将通过GT奖励哪些行为的问题。[2020/8/26]

大概能看出,这是用户签名NFT的销售订单,NFT是由用户持有的,一旦用户签名了此订单,子就可以直接通过OpenSea购买用户的NFT,但是购买的价格由子决定,也就是说子不花费任何资金就能“买”走用户的NFT。

此外,签名本身是为攻击者存储的,不能通过Revoke.Cash或Etherscan等网站取消授权来废弃签名的有效性,但可以取消你之前的挂单授权,这样也能从根源上避免这种钓鱼风险。

Gate.io研究院发布“零知识证明于区块链中的落地应用”报告:Gate.io研究院于今日发布“零知识证明于区块链中的落地应用”报告。报告指出,在区块链技术加快发展的背景下,多种应用场景应运而生,随之而来的是用户在隐私安全方面的更高需求。当前,众多区块链开发团队提出了多种不同的用户隐私安全保护机制。

其中,零知识证明与区块链技术相结合作为一种新方案为提高区块链隐私安全性提供了更多可能。该报告结合“零知识证明”的采纳项目、区块链系统“Zcash”的相关情况,对“Zcash”加密技术以及零知识证明进行了深入探讨。 详情点击原文链接。[2020/6/28]

掌柜调查署丨兰建忠:火币合约实现“零分摊”关键在于“2+1”投资者保护基金:在今日的掌柜调查署上,火币集团副总裁兰建忠发言指出:火币合约实现全品种“零分摊”关键在于“2+1”的投资者保护基金先行赔付机制。

首先是安全备付金:火币合约和Huobi Global共用安全备付金。该保护基金总额20,000 BTC,专项用于应对火币平台可能出现的极端突发安全事故。

第二是风险准备金:风险准备金是用于应付因强平单未能平出而产生的穿仓损失。每一个合约品种,都有一个风险准备金。

第三是 零分摊保证金:零分摊保证金则是火币合约自2018年12月上线以来,就开启的一笔200万美元的“零分摊”保障资金。[2020/3/10]

查看源代码,发现这个钓鱼网站直接使用HTTrack工具克隆c-01nft.io站点。对比两个站点的代码,发现了钓鱼网站多了以下内容:

查看此JS文件,又发现了一个钓鱼站点https://polarbears.in。

如出一辙,使用HTTrack复制了https://polarbearsnft.com/,同样地,只有一张静态图片摆设。

跟随上图的链接,我们来到?https://thedoodles.site,又是一个使用?HTTrack的钓鱼站点,看来我们走进了钓鱼窝。

对比代码,又发现了新的钓鱼站点https://themta.site,不过目前已无法打开。

通过搜索,发现与钓鱼站点thedoodles.site相关的18个结果。同时,钓鱼网站2也在列表里,同一伙子互相Copy,广泛撒网。

再来分析钓鱼站点2,同样,点击进去就直接弹出请求签名的窗口:

且授权内容与钓鱼站点1的一样:

Maker:用户地址

Exchange:OpenSeaV2合约

Taker:子合约地址

先分析子合约地址,可以看到这个合约地址已被MistTrack标记为高风险钓鱼地址。

接着,我们使用MistTrack分析该合约的创建者地址:

发现该钓鱼地址的初始资金来源于另一个被标记为钓鱼的地址,再往上追溯,资金则来自另外三个钓鱼地址。

总结

本文主要是说明了一种较为常见的NFT钓鱼方式,即子能够以0ETH购买你所有授权的NFT,同时我们顺藤摸瓜,扯出了一堆钓鱼网站。建议大家在尝试登录或购买之前,务必验证正在使用的NFT网站的URL。同时,不要点击不明链接,也不要在不明站点批准任何签名请求,定期检查是否有与异常合约交互并及时撤销授权。最后,做好隔离,资金不要放在同一个钱包里。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:15ms0-2:568ms