BTC/HKD-0.36%
HK$ 493661
$ 62913.2

ETH/HKD+4.07%
HK$ 19923
$ 2539.04

LTC/HKD-0.87%
HK$ 508
$ 64.74

DOT/HKD+0.27%
HK$ 33.65
$ 4.289

ADA/HKD+0.65%
HK$ 2.78
$ 0.354

SOL/HKD+3.16%
HK$ 1156.9
$ 147.433

XRP/HKD-1.21%
HK$ 4.54
$ 0.579

DOGE/US-0.41%
HK$ 0.82
$ 0.105

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

NFT:慢霧：「0 元購」NFT 釣魚網站分析

Author：

Time：1900/1/1 0:00:00

不要點擊不明鏈接，也不要在不明站點批準任何簽名請求。據慢霧區情報，發現NFT釣魚網站如下：

釣魚網站1：https://c01.host/

釣魚網站2：https://acade.link/

我們先來分析釣魚網站1：

進入網站連接錢包后，立即彈出簽名框，而當我嘗試點擊除簽名外的按鈕都沒有響應，看來只有一張圖片擺設。

我們先看看簽名內容：

Maker：用戶地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

LayerZero 推出最高獎金 1500 萬美元的漏洞賞金計劃:5月17日消息，LayerZero Labs 與 Immunefi 合作推出最高獎金 1500 萬美元的漏洞賞金計劃。該計劃的獎金超越了 MakerDAO 的 1000 萬美元，成為 Web3 領域獎金最高的漏洞賞金計劃。

LayerZero 聯合創始人兼首席執行官 Bryan Pellegrino 表示，LayerZero 去年在審計上花費了約 500 萬美元。[2023/5/18 15:09:32]

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查詢后顯示是OpenSeaV2合約地址。

ETH 2.0總質押數已超1632.78萬:金色財經報道，數據顯示，ETH 2.0總質押數已超1632.78萬，為16327831個，按當前市場價格，價值約260.10億美元。此外，目前ETH 2.0質押總地址數已超52.22萬，為522162個[2023/1/30 11:37:06]

大概能看出，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能「買」走用戶的NFT。

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

安全團隊：UvToken礦池合約因未檢查用戶傳參合法性導致被黑:金色財經報道，根據安全團隊慢霧區情報，UvTokenWallet Eco Staking 礦池合約被黑，漏洞關鍵原因在于，礦池合約取款函數未嚴格判斷用戶輸入，導致攻擊者可以直接傳入惡意合約地址并利用惡意合約掏空相關資金。慢霧 MistTrack 對資金進行了追蹤溯源分析：截止目前黑客已將獲利資金共計 5,011 BNB 轉移到 Tornado Cash。此外，攻擊的手續費來源同樣為 Tornado Cash。

此前報道，多鏈錢包UvToken遭遇攻擊。[2022/10/27 11:48:38]

查看源代碼，發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼，發現了釣魚網站多了以下內容：

加密分析師：“不要賣”你的比特幣給貝萊德:8月5日消息，新西蘭加密貨幣分析師 Lark Davis 發推稱：貝萊德正在為你的比特幣而來，不要把比特幣賣給他們。據悉，Lark Davis在Twitter擁有超100萬的粉絲。

昨日消息，Coinbase與貝萊德達成戰略合作伙伴關系，貝萊德將通過Coinbase Prime為其客戶提供加密交易和托管服務。[2022/8/6 12:05:44]

查看此JS文件，又發現了一個釣魚站點?https://polarbears.in。

如出一轍，使用HTTrack復制了?https://polarbearsnft.com/，同樣地，只有一張靜態圖片擺設。

跟隨上圖的鏈接，我們來到?https://thedoodles.site，又是一個使用HTTrack的釣魚站點，看來我們走進了釣魚窩。

對比代碼，又發現了新的釣魚站點?https://themta.site，不過目前已無法打開。

通過搜索，發現與釣魚站點thedoodles.site相關的18個結果。同時，釣魚網站2也在列表里，同一伙騙子互相Copy，廣泛撒網。

再來分析釣魚站點2：

同樣，點擊進去就直接彈出請求簽名的窗口：

且授權內容與釣魚站點1的一樣：

Maker：用戶地址

Exchange：OpenSeaV2合約

Taker：騙子合約地址

先分析騙子合約地址，可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。

接著，我們使用MistTrack分析該合約的創建者地址：

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址，再往上追溯，資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT，同時我們順藤摸瓜，扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前，務必驗證正在使用的NFT網站的URL。同時，不要點擊不明鏈接，也不要在不明站點批準任何簽名請求，定期檢查是否有與異常合約交互并及時撤銷授權。最后，做好隔離，資金不要放在同一個錢包里。

原文標題：《「零元購」NFT釣魚分析》

撰文：Lisa

來源：ForesightNews

來源：金色財經

Tags：NFT HTT RAC TTR Swiss NFT Fund htt幣被騙 Drac (BRC)Attrace