By:Lisa
據慢霧區情報,發現NFT?釣魚網站如下:
釣魚網站1:https://c01.host/
釣魚網站2:https://acade.link/
我們先來分析釣魚網站1:
進入網站連接錢包后,立即彈出簽名框,而當我嘗試點擊除簽名外的按鈕都沒有響應,看來只有一張圖片擺設。
我們先看看簽名內容:
Maker:用戶地址
Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a
Scam Sniffer:攻擊者正在測試Blur批量掛單漏洞,請用戶當心“零元購”釣魚風險:3月9日消息,反網絡釣魚解決方案Scam Sniffer發文提醒稱,其鏈上監控機器人在大約5小時前發現一筆可疑Blur交易,有攻擊者正在測試Blur批量掛單的漏洞。在這筆交易中,攻擊者自己嘗試了“網絡釣魚”,并成功將6枚NFT實現了轉移。
此前報道,慢霧生態安全合作伙伴Scam Sniffer演示了一個針對Blur NFT市場批量掛單簽名的“零元購”釣魚攻擊測試,通過一個“Root簽名”即可以極低成本(特指“零元購”)釣走目標用戶在Blur平臺授權的所有NFT,Blur平臺的這個“Root簽名”格式類似“盲簽”,用戶無法識別這種簽名的影響。[2023/3/9 12:51:56]
Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查詢后顯示是OpenSeaV2合約地址。
CityDAO Parcel 0 “零號地塊”空投申領窗口已向Citizen NFT持有者開放:5月18日消息,CityDAO宣布正式開始Parcel 0“零號地塊”空投,土地NFT申領窗口已向Citizen NFT持有者開放,截止日期為北京時間7月1日2:00。CityDAO于2021年10月29日購買了懷俄明州40英畝地塊,將地塊治理權鑄造為NFT并由公民NFT持有者分享,持有該NFT的用戶可以擁有對地塊財庫的治理權,但不擁有該土地的所有權。[2022/5/18 3:23:36]
大概能看出,這是欺騙用戶簽名NFT的銷售訂單,NFT是由用戶持有的,一旦用戶簽名了此訂單,騙子就可以直接通過OpenSea購買用戶的NFT,但是購買的價格由騙子決定,也就是說騙子不花費任何資金就能“買”走用戶的NFT。
比特幣協會:我們對Bitcoin SV網絡的非法攻擊表示“零容忍”:官方消息,比特幣協會近日發布聲明表示:我們對Bitcoin SV網絡的非法攻擊表示“零容忍”。Bitcoin SV基礎架構團隊長期以來一直對網絡進行定期監控,近期協會發現BSV網絡上出現了非法攻擊。目前他們已經收集并記錄了自此次非法攻擊以來的全部相關數據,將提供給相關部門處理。[2021/7/9 0:39:26]
此外,簽名本身是為攻擊者存儲的,不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性,但可以取消你之前的掛單授權,這樣也能從根源上避免這種釣魚風險。
穩定幣初創公司Liquity計劃實施“零治理”:金色財經報道,即將啟動的穩定幣初創公司Liquity計劃實施“零治理”。最值得注意的是,Liquity的智能合約將根據需要進行調整(不需要由代幣持有者組成的治理委員會)。Liquity將沒有治理代幣,但仍計劃使用流動性挖掘來促進早期采用。其提供了一個“增長代幣”(GT),持有者將持續通過Liquity費用獲得少量收益。最近的電話會議尚未解決有關Liquity將通過GT獎勵哪些行為的問題。[2020/8/26]
查看源代碼,發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼,發現了釣魚網站多了以下內容:
查看此JS文件,又發現了一個釣魚站點https://polarbears.in。
如出一轍,使用HTTrack復制了https://polarbearsnft.com/,同樣地,只有一張靜態圖片擺設。
跟隨上圖的鏈接,我們來到?https://thedoodles.site,又是一個使用?HTTrack的釣魚站點,看來我們走進了釣魚窩。
對比代碼,又發現了新的釣魚站點https://themta.site,不過目前已無法打開。
通過搜索,發現與釣魚站點thedoodles.site相關的18個結果。同時,釣魚網站2也在列表里,同一伙騙子互相Copy,廣泛撒網。
再來分析釣魚站點2,同樣,點擊進去就直接彈出請求簽名的窗口:
且授權內容與釣魚站點1的一樣:
Maker:用戶地址
Exchange:OpenSeaV2合約
Taker:騙子合約地址
先分析騙子合約地址,可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。
接著,我們使用MistTrack分析該合約的創建者地址:
發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址,再往上追溯,資金則來自另外三個釣魚地址。
總結
本文主要是說明了一種較為常見的NFT釣魚方式,即騙子能夠以0ETH購買你所有授權的NFT,同時我們順藤摸瓜,扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前,務必驗證正在使用的NFT網站的URL。同時,不要點擊不明鏈接,也不要在不明站點批準任何簽名請求,定期檢查是否有與異常合約交互并及時撤銷授權。最后,做好隔離,資金不要放在同一個錢包里。
文/MatíasAndrade?and?KyleWaters,CoinMetrics作者以太坊即將合并,完成從工作量證明到權益證明的協議升級。合并預計將在周三晚上/周四凌晨進行.
1900/1/1 0:00:001.金色觀察|Bankless:MakerDAO的生存危機加密分析師熱衷使用的穩定幣分類如下:1)法幣支持的穩定幣;2)加密貨幣支持的穩定幣;3)算法穩定幣.
1900/1/1 0:00:007月,前SpartanGroup合伙人JasonChoi宣布與前DeFianceCapital高管Wangarian共同創立加密創投俱樂部Tangent.
1900/1/1 0:00:00撰文:SamKessler,CoinDesk被稱為“合并”的以太坊大規模改革終于實現了。在經過多年的開發和拖延后,這個市值第二大加密貨幣的核心數字機制轉移到一個更加節能的系統.
1900/1/1 0:00:00“相較于2021年的萬物皆可‘元宇宙’,今年聽到這個概念的頻率好像減少很多,畢竟技術還不成型。”業內人士在接受《金融時報》記者采訪時表示.
1900/1/1 0:00:00互聯網正在不斷發展,而我們正處于其中。Web3正準備徹底改變我們使用網絡的方式。在早期,只有少數公司有能力控制我們與互聯網的互動方式,但隨著Web3技術的興起,這種情況開始發生變化.
1900/1/1 0:00:00