NFT:慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_ETH

原文作者：山&耀

原文來源：慢霧安全團隊

安全團隊發現疑似APT團伙針對加密生態的NFT用戶進行大規模釣魚活動，并發布了《“零元購”NFT釣魚分析》。

9月4日，推特用戶PhantomX發推稱朝鮮APT組織針對數十個ETH和SOL項目進行大規模的網絡釣魚活動。

貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對NFT釣魚進行分析。

OpenSea、X2Y2和Rarible等平臺上都有出售。此次APT組織針對Crypto和NFT用戶的釣魚涉及將近500多個域名。

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到7個月前：

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過HTTPGET請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的API?接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php??mmAddr=......&accessTime=xxx&url=evil.site”，其中參數mmAddr記錄訪客的錢包地址，accessTime記錄訪客的訪問時間，url記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：Lendf.Me攻擊者剛歸還了126,014枚PAX:慢霧安全團隊從鏈上數據監測到，Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)轉賬126,014枚PAX，并附言\"Better future\"。隨后Lendf.Me平臺admin賬戶通過memo回復攻擊者并帶上聯系郵箱。此外，Lendf.Me攻擊者錢包地址收到一些受害用戶通過memo求助。[2020/4/20]

特征二：釣魚網站會請求一個NFT項目價目表，通常HTTP的請求路徑為“getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件“imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

聲音 | 慢霧：警惕“假充值”攻擊:慢霧分析預警，如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷，可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS，而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生，但需要注意的是：EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似，更多責任應該屬于平臺方。由于這是一種新型攻擊手法，且攻擊已經在發生，相關平臺方如果對自己的充值校驗沒有十足把握，應盡快暫停 EOS 充提，并對賬自查。[2019/3/12]

進一步分析發現APT用于監控用戶請求的主要域名為“thedoodles.site”，此域名在APT活動早期主要用來記錄用戶數據：

查詢該域名的HTTPS證書啟用時間是在7個月之前，黑客組織已經開始實施對NFT用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

繼續根據相關的HTTPS證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。

其中還包括受害者approve記錄：

以及簽名數據sigData等，由于比較敏感此處不進行展示。

另外，統計發現主機相同IP下NFT釣魚站群，單獨一個IP下就有372個NFT釣魚站點：

另一個IP下也有320個NFT釣魚站群：

甚至包括朝鮮黑客在經營的一個DeFi平臺：

由于篇幅有限，此處不再贅述。

NFT零元購釣魚》文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI等多個地址協議。

下面代碼用于誘導受害者進行授權NFT、ERC?20等較常見的釣魚Approve操作：

除此之外，黑客還會誘導受害者進行Seaport、Permit等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是“opensea.io”這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和“Seaport”的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。

進行分析。

可以看到這個地址已被MistTrack標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到1055個NFT，售出后獲利近300ETH。

往上溯源，該地址的初始資金來源于地址轉入的4.97ETH。往下溯源，則發現該地址有與其他被MistTrack標記為風險的地址有交互，以及有5.7ETH轉入了FixedFloat。

再來分析下初始資金來源地址，目前收到約6.5ETH。初始資金來源于Binance轉入的1.433ETH。

同時，該地址也是與多個風險地址進行交互。

總結

由于保密性和隱私性，本文僅針對其中一部分?NFT?釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

Ps.感謝hip、ScamSniffer提供的支持。

相關鏈接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136?

https://twitter.com/evilcos/status/1603969894965317632?

原文鏈接

Tags：NFTETHSTAHTTKAMAX Vault (NFTX)DADDYETHstarl幣項目進展最新消息htt幣騙局

XRP