BTC/HKD+0.48%
HK$ 497825
$ 63443.9

ETH/HKD+4.47%
HK$ 19999
$ 2548.68

LTC/HKD+1.32%
HK$ 519.22
$ 66.17

DOT/HKD+2.5%
HK$ 34.41
$ 4.385

ADA/HKD+2.05%
HK$ 2.82
$ 0.359

SOL/HKD+5.54%
HK$ 1183.5
$ 150.831

XRP/HKD+0.64%
HK$ 4.63
$ 0.59

DOGE/US+1.58%
HK$ 0.84
$ 0.107

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

NBS:慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析

Author：

Time：1900/1/1 0:00:00

9 月 4 日，推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。

（https://twitter.com/PhantomXSec/status/1566219671057371136 ）

該推特用戶給出了 196 個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

（https://pastebin.com/UV 9 pJN 2 M）

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

（https://twitter.com/IM_ 23 pds/status/1566258373284093952 ）

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。

慢霧：Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道，Uwerx遭到攻擊，損失約174.78枚ETH，據慢霧分析，根本原因是當接收地址為 uniswapPoolAddress（0x01）時，將會多burn掉from地址的轉賬金額1%的代幣，因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣，然后調用sync函數惡意抬高代幣價格，最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析，黑客初始資金來自Tornadocash轉入的10 BNB，接著將10 BNB換成1.3 ETH，并通過Socket跨鏈到以太坊。目前，被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

經過深入分析，發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站，這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到 7 個月前：

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的 API 接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”，其中參數 mmAddr 記錄訪客的錢包地址，accessTime 記錄訪客的訪問時間，url 記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息，慢霧發推稱，攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道，Ronin橋被攻擊，17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]

特征二：釣魚網站會請求一個 NFT 項目價目表，通常 HTTP 的請求路徑為 “getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件 “imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”，此域名在 APT 活動早期主要用來記錄用戶數據：

慢霧: 警惕比特幣RBF風險:據BitMEX消息，比特幣于區塊高度666833出現陳腐區塊，并產生了一筆 0.00062063 BTC 的雙花交易。根據 BitMEX提供的交易內容來看，雙花的兩筆交易的nSequence字段的值都小于0xffffffff -1。慢霧安全團隊初步認為此次雙花交易有可能是比特幣中的RBF交易。[2021/1/20 16:38:01]

查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前，黑客組織已經開始實施對 NFT 用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。

慢霧：Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日，慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中，用戶可以通過deposit函數抵押BPT代幣；

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子，并使用accRewardsPerToken來記錄累計獎勵；

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄；

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押；

5.此時攻擊者將第二次進行deposit，并通過claimRewards提取獎勵；

6.問題出在rewardWriteoff的具體計算，在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory，此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值；

7.由于memory中獲取的Pool值是舊的，其對應記錄的accRewardsPerToken也是舊的會賦值到miner；

8.之后再進行新的一次updatePool時，由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小，所以最后獲得的accRewardsPerToken將變大；

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值，在進行rewardWriteoff計算時獲得的值也將偏小，但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值；

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值，會導致計算出一個偏大的數值；

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣，導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

動態 | 慢霧：Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示，Cryptopia攻擊者分兩次轉移共20,843枚ETH，價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址，未向交易所轉移。據悉，今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊，價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]