9 月 4 日,推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。
(https://twitter.com/PhantomXSec/status/1566219671057371136 )
該推特用戶給出了 196 個釣魚域名信息,分析后關聯到朝鮮黑客相關信息,具體的域名列表如下:
(https://pastebin.com/UV 9 pJN 2 M)
慢霧安全團隊注意到該事件并第一時間跟進深入分析:
(https://twitter.com/IM_ 23 pds/status/1566258373284093952 )
由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化,我們披露的也只是冰山一角,因為一些保密的要求,本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。
慢霧:Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道,Uwerx遭到攻擊,損失約174.78枚ETH,據慢霧分析,根本原因是當接收地址為 uniswapPoolAddress(0x01)時,將會多burn掉from地址的轉賬金額1%的代幣,因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣,然后調用sync函數惡意抬高代幣價格,最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析,黑客初始資金來自Tornadocash轉入的10 BNB,接著將10 BNB換成1.3 ETH,并通過Socket跨鏈到以太坊。目前,被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]
經過深入分析,發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站,這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。
查詢這些域名的注冊相關信息,發現注冊日期最早可追溯到 7 個月前:
同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征:
特征一:釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域,發送請求的域名雖不同但是請求的 API 接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”,其中參數 mmAddr 記錄訪客的錢包地址,accessTime 記錄訪客的訪問時間,url 記錄訪客當前所訪問的釣魚網站鏈接。
慢霧:攻擊Ronin Network的黑客地址向火幣轉入3750枚 ETH:3月30日消息,慢霧發推稱,攻擊Axie Infinity側鏈Ronin Network的黑客地址向交易所火幣轉入3750枚ETH。此前金色財經報道,Ronin橋被攻擊,17.36萬枚ETH和2550萬USDC被盜。[2022/3/30 14:26:38]
特征二:釣魚網站會請求一個 NFT 項目價目表,通常 HTTP 的請求路徑為 “getPriceData.php”:
特征三:存在一個鏈接圖像到目標項目的文件 “imgSrc.js”,包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置,這個文件可能是釣魚網站模板的一部分。
進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”,此域名在 APT 活動早期主要用來記錄用戶數據:
慢霧: 警惕比特幣RBF風險:據BitMEX消息,比特幣于區塊高度666833出現陳腐區塊,并產生了一筆 0.00062063 BTC 的雙花交易。根據 BitMEX提供的交易內容來看,雙花的兩筆交易的nSequence字段的值都小于0xffffffff -1。慢霧安全團隊初步認為此次雙花交易有可能是比特幣中的RBF交易。[2021/1/20 16:38:01]
查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前,黑客組織已經開始實施對 NFT 用戶對攻擊。
最后來看下黑客到底運行和部署了多少個釣魚站點:
比如最新的站點偽裝成世界杯主題:
繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息:
在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。
慢霧:Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日,慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。
1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;
2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;
3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;
4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;
5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;
6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;
7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;
8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;
9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;
10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;
11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]
這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況:
動態 | 慢霧:Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示,Cryptopia攻擊者分兩次轉移共20,843枚ETH,價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址,未向交易所轉移。據悉,今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊,價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]
可以發現這些信息跟釣魚站點采集的訪客數據相吻合。
其中還包括受害者 approve 記錄:
以及簽名數據 sigData 等,由于比較敏感此處不進行展示。
另外,統計發現主機相同 IP 下 NFT 釣魚站群,單獨一個 IP 下就有 372 個 NFT 釣魚站點:
另一個 IP 下也有 320 個 NFT 釣魚站群:
甚至包括朝鮮黑客在經營的一個 DeFi 平臺:
由于篇幅有限,此處不再贅述。
結合之前文章,我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到 WETH、USDC、DAI、UNI 等多個地址協議。
下面代碼用于誘導受害者進行授權 NFT、ERC 20 等較常見的釣魚 Approve 操作:
除此之外,黑客還會誘導受害者進行 Seaport、Permit 等簽名。
下面是這種簽名的正常樣例,只是在釣魚網站中不是 “opensea.io” 這個域名。
我們在黑客留下的主機也發現了這些留存的簽名數據和 “Seaport” 的簽名數據特征一致。
由于這類型的簽名請求數據可以“離線存儲”,黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。
對釣魚網站及手法分析后,我們選取其中一個釣魚地址(0xC0fd...e0ca)進行分析。
可以看到這個地址已被 MistTrack 標記為高風險釣魚地址,交易數也還挺多。釣魚者共收到 1055 個 NFT,售出后獲利近 300 ETH。
往上溯源,該地址的初始資金來源于地址(0 x 2 e 0 a...DA 82 )轉入的 4.97 ETH。往下溯源,則發現該地址有與其他被 MistTrack 標記為風險的地址有交互,以及有 5.7 ETH 轉入了 FixedFloat。
再來分析下初始資金來源地址(0 x 2 e 0 a...DA 82 ),目前收到約 6.5 ETH。初始資金來源于 Binance 轉入的 1.433 ETH。
同時,該地址也是與多個風險地址進行交互。
由于保密性和隱私性,本文僅針對其中一部分 NFT 釣魚素材進行分析,并提煉出朝鮮黑客的部分釣魚特征,當然,這只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。
Ps. 感謝 hip、ScamSniffer 提供的支持。
相關鏈接:
https://www.prevailion.com/what-wicked-webs-we-unweave
https://twitter.com/PhantomXSec/status/1566219671057371136
https://twitter.com/evilcos/status/1603969894965317632
慢霧科技
個人專欄
閱讀更多
金色財經 子木
金色早8點
去中心化金融社區
虎嗅科技
區塊律動BlockBeats
CertiK中文社區
深潮TechFlow
念青
Odaily星球日報
騰訊研究院
原文:《Multicoin回撤90%:不過是盈虧同源》作者:FYJ,BlockBeats近日,曾以三箭資本債權人身份披露過諸多信息的 Soldman Gachs 在推特上表示.
1900/1/1 0:00:00近來,馬斯克的另一大前沿科技公司openAI推出了聊天工具chatGPT(chat.openai.com),這款工具一出籠就風靡了科技圈.
1900/1/1 0:00:00撰寫:Simran Jagdev編譯:深潮 TechFlow 如今阻礙區塊鏈技術和 Web3 大規模應用的關鍵因素之一是其孤島性質.
1900/1/1 0:00:00本期篇幅較長,為了方便大家閱讀可預覽目錄:溫習:什么是最大可提取價值 MEVPart 1 :以太坊 POS 中 MEV 驗證者中心化 許可內存池.
1900/1/1 0:00:00原文:《加密寒冬下耀眼的明星—Web3 錢包賽道的現狀、挑戰與機遇》在可預見的未來,非自保管錢包有可能成為Web2用戶進入Web3的下一個增長點.
1900/1/1 0:00:00撰寫:Nomatic 編譯:深潮 TechFlowWeb3 游戲雖仍處于早期階段,但發展迅速。這些游戲即將到來,但其中許多項目仍處于開發的早期階段.
1900/1/1 0:00:00