IDH:慢霧：29枚Moonbirds NFT被盜事件溯源分析

事件背景

5月25日，推特用戶@0xLosingMoney稱監測到ID為@Dvincent_的用戶通過釣魚網站p2peers.io盜走了29枚Moonbirds系列NFT，價值超70萬美元，釣魚網站目前已無法訪問。該用戶表示，域名sarek.fi和p2peers.io都曾在過去的黑客事件中被使用。

搜集相關信息

慢霧安全團隊收到相關情報并針對此次被盜事件進行朔源分析。我們開始在Twitter上搜集并分析此釣魚事件的相關信息時，發現@Dvincent_就是黑客的Twitter賬號，目前該賬戶已經被注銷。而根據5月10日的記錄，推特用戶@just1n_eth就表示@Dvincent_曾與其聯系交易BAYCNFT，但由于對方堅持使用p2peers.io，交易最后并未達成。

在該推特評論下用戶@jbe61表示自己曾遇到同一個人并給出了對話截圖：

5月25日晚，@0xLosingMoney繼續在Twitter公布了黑客的錢包等相關信息。

下面是@0xLosingMoney給出的黑客地址：?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D?0x8e73fe4d5839c60847066b67ea657a67f42a0adf?0x6035B92fd5102b6113fE90247763e0ac22bfEF63?0xBf41EFdD1b815556c2416DcF427f2e896142aa53?0x29C80c2690F91A47803445c5922e76597D1DD2B6相關地址分析

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

由于整個被盜事件都提到“p2peers.io”這個釣魚網站，所以我們從此處開始入手。這個在芬蘭某域名公司注冊的p2peers網站已被暫停使用，我們最終在谷歌網頁快照中尋找到了該網站首頁的信息。

根據網頁快照可以發現https://p2peers.io/的前端代碼，其中主要的JS代碼是“js/app.eb17746b.js”。由于已經無法直接查看JS代碼，利用Cachedview網站的快照歷史記錄查到在2022年4月30日主要的JS源代碼。

通過對JS的整理，我們查到了代碼中涉及到的釣魚網站信息和交易地址。在代碼912行發現approve地址：0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

在代碼3407行同樣發現關于approve相關操作的地址：0xc9E39Ad832cea1677426e5fA8966416337F88749

慢霧：靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息，據慢霧區情報，靚號黑客地址之一（0xf358..7036）已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元，并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現，黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前，黑客已經接收到超過17萬美元的資金，資金沒有進一步轉移，地址痕跡有Uniswap V3、Curve、TraderJoe，PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]

我們開始分析這兩個地址的交易記錄：0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A0xc9E39Ad832cea1677426e5fA8966416337F88749首先在Etherscan查詢發現0x7F7...b6A是一個惡意合約地址：

而這個惡意合約的創建者是地址：0xd975f8c82932f55c7cef51eb4247f2bea9604aa3，發現這個地址有多筆NFT交易記錄：

我們在NFTGO網站進一步查看，根據該地址目前NFT持有情況，發現被盜NFT目前都停留在此地址上還沒有售出，總價值約為225,475美元。

慢霧：BXH 第一次被盜資金再次轉移，BTC 網絡余額超 2700 BTC:金色財經報道，10月8日凌晨（UTC+8），慢霧監控到 BXH 第一次被盜資金再次出現異動，經慢霧 MistTrack 分析，異動詳情如下：

黑客地址 0x48c9...7d79 將部分資金（213.77 BTCB，5 BNB 和 1 ETH）轉移至新地址 0xc01f...2aef，接著將資金兌換為 renBTC 跨鏈到 BTC 網絡，跨鏈后地址為 1JwQ...u9oU。1JwQ...u9oU 在此次轉移中接收到的總資金為 204.12 BTC。截止目前，BXH 第一次被盜事件在 BTC 網絡共有 4 個黑客地址，總計余額為 2701.3 BTC，暫未進一步轉移。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/10/8 12:49:28]

而使用NFTSCAN發現NFT數量一共是21個，價值96.5枚ETH。

繼續使用MistTrack分析攻擊者地址交易歷史：

可以發現該地址的ETH交易次數并不多只有12次，余額只有0.0615枚ETH。

0xc9E39Ad832cea1677426e5fA8966416337F88749也是合約地址，合約創建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63，這個地址在@0xLosingMoney公布的黑客地址名單中也有提到。

慢霧：BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息，10月30日攻擊BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗幣過程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺，其中部分 ETH 代幣被兌換成 BTC。此外，黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈，目前，初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

使用MistTrack發現這個地址余額同樣不多，入賬有21筆而出賬有97筆，其中已轉出共106.2枚ETH。

查看入賬和出賬信息，可以發現多筆轉到Tornado.Cash，說明黑客已經通過各種手法將盜來的幣進行來轉移。黑客使用moralis服務作惡

我們在JS代碼409行發現使用到了域名為usemoralis.com的服務接口：

其中2053端口是API地址，而2083端口則是后臺登錄地址。

通過查詢發現usemoralis.com這個域名上有大量NFT相關網站，其中不少是屬于釣魚網站。通過谷歌搜索發現不少NFT的站點，并發現多個子域信息。

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

于是我們遍歷和查詢usemoralis.com的子域名，發現共存在3千多個相關子域站點部署在cloudflare上。

進一步了解我們發現這些站點都是來自moralis提供的服務：

moralis是一個專門提供針對Web3開發和構建DApps的服務。

我們發現注冊后就可以得到接口地址和一個管理后臺，這使得制作釣魚網站作惡成本變得非常低。

發現詐騙后臺并關聯到釣魚事件

繼續分析JS代碼，在368行發現有將受害者地址提交到網站域名為pidhnone.se的接口。

經過統計，域名為pidhnone.se的接口有：https://pidhnone.se/api/store/loghttps://pidhnone.se/api/self-spoof/https://pidhnone.se/api/address/https://pidhnone.se/api/crypto/進一步分析發現https://pidhnone.se/login其實是黑客操作的詐騙控制后臺，用來管理詐騙資產等信息。

根據后臺地址的接口拼接上地址，可以看到攻擊地址和受害者的地址。

后臺還存留關于圖片信息和相關接口操作說明文字，可以看出來是非常明顯的詐騙網站操作說明。

我們分析后臺里面涉及的信息，如圖片：https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7dhttps://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234這里面涉及黑客歷史使用過的的釣魚網站信息，如nftshifter.io：

以nftshifter.io這個釣魚網站為例：

在Twitter上查找相關記錄可以看到2022年3月25日有受害者訪問過該釣魚網站并公布出來。

使用相同的方式分析nftshifter.io：

得到JS源代碼并進行分析：

可以發現同樣也是采用moralis的服務和https://pidhnone.se/這個詐騙后臺進行控制。其中相關的惡意地址：釣魚者合約：0x8beebade5b1131cf6957f2e8f8294016c276a90f合約創建者：0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee創建合約時間：Mar-24-202209:05:33PM+UTC

同時我們發現與這個攻擊者相同的惡意合約代碼有9個：

隨機看一個惡意合約0xc9E...749，創建者地址為0x6035B92fd5102b6113fE90247763e0ac22bfEF63：

相同的手法，都已經洗幣。每個惡意合約上都已經有受害者的記錄，此處不一一分析。我們再來看下受害者時間：

剛好是在攻擊者創建惡意釣魚之后，有用戶上當受騙。攻擊者已將NFT售出，變賣為ETH，我們使用MistTrack分析攻擊者地址0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee：

可以看到51ETH已經轉入Tornado.Cash洗幣。同時，目前Twitter上攻擊者的賬戶@nftshifter_io已經被凍結無法查看。總結

可以確認的是，攻擊一直在發生，而且有成熟的產業鏈。截止到發文前黑客地址仍有新的NFT入賬和交易進行。黑客進行釣魚攻擊往往已成規模化批量化，制作一個釣魚模版就可以批量復制出大量不同NFT項目的釣魚網站。當作惡成本變得非常低的時候，更需要普通用戶提高警惕，加強安全意識，時刻保持懷疑，避免成為下一個受害者。如何避免陷入欺詐的境地？慢霧安全團隊建議如下：1.不要點擊來源不明的鏈接或附件，不要隨意泄露您的助記詞2.使用強密碼并啟用雙重身份驗證以保護您的帳戶。3.不確定的情況下，向多方進行驗證確認。4.不要在網上傳輸敏感信息，攻擊者可以通過分析這些信息和數據向用戶發送有針對性的網絡釣魚電子郵件。5.建議閱讀：《區塊鏈黑暗森林自救手冊》

Tags：ONENFTIDHPIDonekeycardNFTCircleIDH幣Rapidz

波場