NFT:慢霧：「0 元購」NFT 釣魚網站分析_HTT

不要點擊不明鏈接，也不要在不明站點批準任何簽名請求。

據慢霧區情報，發現NFT釣魚網站如下：

釣魚網站1：https://c01.host/

釣魚網站2：https://acade.link/

我們先來分析釣魚網站1：

進入網站連接錢包后，立即彈出簽名框，而當我嘗試點擊除簽名外的按鈕都沒有響應，看來只有一張圖片擺設。

我們先看看簽名內容：

Maker：用戶地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

慢霧：利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道，SlowMist發布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻擊，利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日，利用者發起了20提案，并在提案中說明20提案是對16提案的補充，具有相同的執行邏輯。但實際上，提案合約多了一個自毀邏輯，其創建者是通過create2創建的，具有自毀功能，所以在與提案合約自毀后，利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是，社區沒有看到擬議合約中的犯規行為，許多用戶投票支持該提案。

在5月18日，利用者通過創建具有多個交易的新地址，反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性，利用者在5月20日7:18（UTC）銷毀了提案執行合約，并在同一地址部署了一個惡意合約，其邏輯是修改用戶在治理中鎖定的代幣數量。

攻擊者修改完提案合約后，于5月20日7:25（UTC）執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的，因此，該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后，攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡，同時利用者控制了治理。[2023/5/21 15:17:00]

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查詢后顯示是OpenSeaV2合約地址。

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

大概能看出，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能「買」走用戶的NFT。

聲音 | 慢霧：EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后，聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現：從昨日開始，存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊，并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施，嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外，確保以下幾點防止其他類型的“假充值”攻擊： 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

查看源代碼，發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼，發現了釣魚網站多了以下內容：

查看此JS文件，又發現了一個釣魚站點?https://polarbears.in。

如出一轍，使用HTTrack復制了?https://polarbearsnft.com/，同樣地，只有一張靜態圖片擺設。

跟隨上圖的鏈接，我們來到?https://thedoodles.site，又是一個使用HTTrack的釣魚站點，看來我們走進了釣魚窩。

對比代碼，又發現了新的釣魚站點?https://themta.site，不過目前已無法打開。

通過搜索，發現與釣魚站點thedoodles.site相關的18個結果。同時，釣魚網站2也在列表里，同一伙騙子互相Copy，廣泛撒網。

再來分析釣魚站點2：

同樣，點擊進去就直接彈出請求簽名的窗口：

且授權內容與釣魚站點1的一樣：

Maker：用戶地址

Exchange：OpenSeaV2合約

Taker：騙子合約地址

先分析騙子合約地址，可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。

接著，我們使用MistTrack分析該合約的創建者地址：

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址，再往上追溯，資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT，同時我們順藤摸瓜，扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前，務必驗證正在使用的NFT網站的URL。同時，不要點擊不明鏈接，也不要在不明站點批準任何簽名請求，定期檢查是否有與異常合約交互并及時撤銷授權。最后，做好隔離，資金不要放在同一個錢包里。

原文標題：《「零元購」NFT釣魚分析》

撰文：Lisa

來源：ForesightNews

Tags：NFTHTTBLURBLUNFTSOL價格HTT價格blur幣怎么樣DOGEBLUE幣

比特幣價格實時行情