比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

NFT:“零元購” NFT 釣魚分析

Author:

Time:1900/1/1 0:00:00

By:Lisa

據慢霧區情報,發現NFT?釣魚網站如下:

釣魚網站1:https://c01.host/

釣魚網站2:https://acade.link/

我們先來分析釣魚網站1:

進入網站連接錢包后,立即彈出簽名框,而當我嘗試點擊除簽名外的按鈕都沒有響應,看來只有一張圖片擺設。

我們先看看簽名內容:

Maker:用戶地址

Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a

安全公司:超過280個區塊鏈面臨“零日”漏洞的風險,至少價值250億美元:3月14日消息,據網絡安全公司Halborn表示,估計有280個或更多區塊鏈網絡面臨“零日”漏洞利用的風險,這些漏洞可能會使至少價值250億美元的加密貨幣面臨風險。

Halborn概述了三個漏洞,其中“最關鍵”的漏洞允許攻擊者“向各個節點發送精心設計的惡意共識消息,導致每個節點關閉”。它隨著時間的推移添加了這些消息,可能會使區塊鏈暴露于51%的攻擊中,攻擊者控制網絡的大部分挖礦哈希率或質押代幣以制作新版本的區塊鏈或使其離線。其他“零日漏洞”將允許潛在的攻擊者通過發送遠程過程調用 (RPC) 請求來破壞區塊鏈節點。[2023/3/14 13:03:06]

Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查詢后顯示是OpenSeaV2合約地址。

成都市利用區塊鏈技術實現不動產首次登記“零材料”受理:12月6日消息,成都市規劃和自然資源局積極探索圍繞數據安全管理、業務智能審批、行為監測預警、數據協同共享等應用場景,建成“蓉e鏈”區塊鏈平臺,實現不動產首次登記“零材料”受理。將規劃和自然資源部門內部產生的土地出讓合同、劃撥決定書、建設用地規劃許可證、建設工程規劃許可證、土地核實意見書、權籍調查結果和外部產生的成都市建設工程并聯竣工驗收通知書等不動產首次登記申請材料,通過不動產單元代碼關聯并全量實時上“蓉e鏈”共享存證,確保業務環節前后銜接、數據真實準確,便利信息共享查詢追溯。(中國日報網)[2021/12/6 12:54:13]

微比特礦池將推出“零費率”BTC挖礦:據官方消息,微比特(ViaBTC)礦池于2020年7月1日-10月31日推出為期4個月的“零費率”BTC挖礦,凡≥300p的微比特中國用戶,只均可參與。據悉,再結合使用微比特礦池推出的“智能挖礦”產品,能夠有效避免幣價波動造成的收益風險。[2020/7/1]

大概能看出,這是欺騙用戶簽名NFT的銷售訂單,NFT是由用戶持有的,一旦用戶簽名了此訂單,騙子就可以直接通過OpenSea購買用戶的NFT,但是購買的價格由騙子決定,也就是說騙子不花費任何資金就能“買”走用戶的NFT。

此外,簽名本身是為攻擊者存儲的,不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性,但可以取消你之前的掛單授權,這樣也能從根源上避免這種釣魚風險。

華為云混合云領域總裁:“零”等待同步區塊鏈等10大類70+云服務:今日,華為云發布政企戰略,并宣布華為云Stack系列新品正式上市。華為云混合云領域總裁呂陽明介紹,基于統一的華為云擎天架構,華為云Stack與華為云保持統一的API,可以在本地數據中心為客戶提供與華為云一致的云服務使用體驗,“零”等待同步AI、大數據、IoT、區塊鏈等10大類70+云服務,共享華為云創新能力。[2020/5/15]

查看源代碼,發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼,發現了釣魚網站多了以下內容:

查看此JS文件,又發現了一個釣魚站點https://polarbears.in。

如出一轍,使用HTTrack復制了https://polarbearsnft.com/,同樣地,只有一張靜態圖片擺設。

跟隨上圖的鏈接,我們來到?https://thedoodles.site,又是一個使用?HTTrack的釣魚站點,看來我們走進了釣魚窩。

對比代碼,又發現了新的釣魚站點https://themta.site,不過目前已無法打開。

通過搜索,發現與釣魚站點thedoodles.site相關的18個結果。同時,釣魚網站2也在列表里,同一伙騙子互相Copy,廣泛撒網。

再來分析釣魚站點2,同樣,點擊進去就直接彈出請求簽名的窗口:

且授權內容與釣魚站點1的一樣:

Maker:用戶地址

Exchange:OpenSeaV2合約

Taker:騙子合約地址

先分析騙子合約地址,可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。

接著,我們使用MistTrack分析該合約的創建者地址:

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址,再往上追溯,資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的NFT釣魚方式,即騙子能夠以0ETH購買你所有授權的NFT,同時我們順藤摸瓜,扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前,務必驗證正在使用的NFT網站的URL。同時,不要點擊不明鏈接,也不要在不明站點批準任何簽名請求,定期檢查是否有與異常合約交互并及時撤銷授權。最后,做好隔離,資金不要放在同一個錢包里。

Tags:NFTHTT區塊鏈ACKNFTBHTT幣區塊鏈的未來發展前景pptrichquack幣怎么樣

比特幣行情
ETH:金色早報 | 以太坊合并后有望被機構大力采用

頭條 ▌ETHW官方發布分叉時間和主網切換信息9月13日消息,以太坊工作量證明分叉鏈ETHW正式發布了分叉時間,即在以太坊合并后24小時內部署.

1900/1/1 0:00:00
以太坊:以太坊合并在即 從社區思想的角度談 PoW 和 PoS

正如Vitalik所言,以太坊的合并預計將在9月13-9月15日發生,而今日的Bellatrix硬分叉升級,則是這次合并的前置準備工作,但它仍然會很重要.

1900/1/1 0:00:00
區塊鏈:深度解析服務細分賽道公鏈

原文來源:LDCapitalResearch原文作者:NoiseZhou序時間重回2020年,隨著一輪牛市的到來.

1900/1/1 0:00:00
WEB:Web3 原生機構與 Web2 金融科技之間的關系將如何演變?

未來東風是否會壓倒西風?原文標題:《Web2VSWeb3Fintech,東風能否壓倒西風?》撰文:BuidlerDAO未來在?Web3的金融世界中.

1900/1/1 0:00:00
穩定幣:主流穩定幣是否是美元霸權的延續?

隨著區塊鏈技術的不斷發展,許多誕生在區塊鏈上可能會顛覆傳統行業的應用開始不斷誕生,這也使得這個市場吸引了龐大的資金,不管是對于機構還是個人來說,要想進入加密市場必然繞不開一個東西.

1900/1/1 0:00:00
NCE:一文詳解十大智能合約安全威脅之合約升級漏洞

問:我們常提到的智能合約漏洞真的是實際中威脅最大、發生最頻繁的安全漏洞嗎?答:完全不是那樣。例如“溢出”、“外部調用”等常提到的智能合約安全漏洞并不是最常發生,威脅最大的.

1900/1/1 0:00:00
ads