慢霧：29 枚 Moonbirds NFT 被盜事件溯源分析_NFT:mooney幣能不能到1刀

事件背景

5月25日，推特用戶?@0xLosingMoney?稱監測到ID為?@Dvincent_?的用戶通過釣魚網站p2peers.io盜走了29枚Moonbirds系列NFT，價值超70萬美元，釣魚網站目前已無法訪問。該用戶表示，域名sarek.fi和p2peers.io都曾在過去的黑客事件中被使用。

搜集相關信息

慢霧安全團隊收到相關情報并針對此次被盜事件進行朔源分析。

我們開始在Twitter上搜集并分析此釣魚事件的相關信息時，發現?@Dvincent_?就是黑客的Twitter賬號，目前該賬戶已經被注銷。而根據5月10日的記錄，推特用戶?@just1n_eth就表示?@Dvincent_?曾與其聯系交易BAYCNFT，但由于對方堅持使用p2peers.io，交易最后并未達成。

在該推特評論下用戶@jbe61表示自己曾遇到同一個人并給出了對話截圖：

5月25日晚，@0xLosingMoney?繼續在Twitter公布了黑客的錢包等相關信息。

下面是?@0xLosingMoney?給出的黑客地址：

?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D

?0x8e73fe4d5839c60847066b67ea657a67f42a0adf

分析師：比特幣被BRC-20代幣“圍攻”，gas費飆升:金色財經報道，加密數據公司的分析師 Axel Adler Jr表示，在BTC區塊鏈上鑄造BRC-20memecoin導致區塊空間需求激增，與以太坊的ERC-20等傳統代幣標準不同，BRC-20不使用智能合約，僅使用支持比特幣區塊鏈的錢包進行操作。”根據CryptoQuant的數據，每筆交易的平均費用飆升，超過16美元，并在5月9日達到29美元的峰值。[2023/5/10 14:54:07]

?0x6035B92fd5102b6113fE90247763e0ac22bfEF63

?0xBf41EFdD1b815556c2416DcF427f2e896142aa53

?0x29C80c2690F91A47803445c5922e76597D1DD2B6

相關地址分析

由于整個被盜事件都提到“p2peers.io”這個釣魚網站，所以我們從此處開始入手。這個在芬蘭某域名公司注冊的p2peers網站已被暫停使用，我們最終在谷歌網頁快照中尋找到了該網站首頁的信息。

根據網頁快照可以發現?https://p2peers.io/?的前端代碼，其中主要的JS代碼是“js/app.eb17746b.js”。

由于已經無法直接查看JS代碼，利用?Cachedview?網站的快照歷史記錄查到在2022年4月30日主要的JS源代碼。

數字藏品周指數上漲8.6點至68.9點:金色財經報道，據同伴客數據顯示，上周（2023年5月1日-5月8日）數字藏品國際周指數上漲4.8點至14.7點，國內周指數上漲14.3點至150.2點，數字藏品綜合價值周指數上漲8.6至68.9點。

備注：

· 數字藏品綜合價值指數由同伴客數據與鏈境Labs聯合研發，是對國際及國內當月市場熱度最高的數字藝術品項目市場總銷售規模的綜合反映，以2021年11月份銷售額的30分之7為基數，指數基值為100。

·國內周指數成分之一的幻核于8月16日發布平臺終止運營公告，但銷量已于7月10日后歸零。為遵循去掉某一成分后指數計算結果無變化的原則，該指數使用幻核7/4-7/10的銷售數據進行銷售基數調整，并將新的銷售基數作為8/14后的指數計算基數。[2023/5/8 14:50:18]

通過對JS的整理，我們查到了代碼中涉及到的釣魚網站信息和交易地址。

在代碼912行發現approve地址：

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

在代碼3407行同樣發現關于approve相關操作的地址：

0xc9E39Ad832cea1677426e5fA8966416337F88749

我們開始分析這兩個地址的交易記錄：

A&T Capital創始合伙人于雋已辭去公司職務:3月26日消息，A&T Capital 近期發布致投資者信表示，于雋曾代表我們的一位投資者，任命于 A&T Capital。他已經從投資者的公司辭去了職務。因此，于雋將不再參與 A&T Capital 的任何事務，也不再代表本基金。這一變動將不會影響本基金的運營。

此前于雋社交平臺個人簡介為“A&T Capital 創始合伙人/前 OKX 投資總監”。[2023/3/26 13:26:47]

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

0xc9E39Ad832cea1677426e5fA8966416337F88749

首先在Etherscan查詢發現0x7F7...b6A?是一個惡意合約地址：

而這個惡意合約的創建者是地址：0xd975f8c82932f55c7cef51eb4247f2bea9604aa3，發現這個地址有多筆NFT交易記錄：

我們在NFTGO網站進一步查看，根據該地址目前NFT持有情況，發現被盜NFT目前都停留在此地址上還沒有售出，總價值約為225,475美元。

而使用NFTSCAN發現NFT數量一共是21個，價值96.5枚ETH。

繼續使用MistTrack分析攻擊者地址交易歷史：

杜均：CZ面對監管的態度是一個巨大挑戰:金色財經報道，據火幣聯合創始人杜均在社交媒體披露，ABCDECapital8月正式對外投資，目前已經領投7個項目，覆蓋安全、數據、社交、ZK、NFT等賽道，如@MetatrustLabs、@ScopeProtocol等。

今天Binance占據了75%的市場份額，無論愿意與否，CZ面對監管的態度代表了整個行業的態度，對于CZ這是一個巨大的挑戰。FTX事件的影響力遠超預期，最近幾年傳統機構入場最大功臣一個是Coinbase、一個是Circle、另外一個就是FTX。FTX的暴雷，讓傳統老錢和政府機構對于Crypto世界的混沌無序害怕甚至厭惡，未來很長一段時間里政府不會有更寬松的政策支持Crypto的發展與創新，主權基金也不會把錢放進來。[2022/12/13 21:41:32]

可以發現該地址的ETH交易次數并不多只有12次，余額只有0.0615枚ETH。

0xc9E39Ad832cea1677426e5fA8966416337F88749也是合約地址，合約創建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63，這個地址在@0xLosingMoney公布的黑客地址名單中也有提到。

使用?MistTrack發現這個地址余額同樣不多，入賬有21筆而出賬有?97筆，其中已轉出共?106.2枚?ETH。

Delio與BlockFi及三箭資本簽署價值6億美元的資產供應合同:6月7日消息，韓國加密資產金融科技公司Delio宣布與加密借貸平臺BlockFi及三箭資本簽署了價值6億美元的資產供應合同，根據這份合同，Delio將獲得兩家公司價值6美元的BTC、ETH和USDT資產支持。Delio計劃利用這筆擔保資金優先擴大目前提供的存貸服務所處理的資產，并提高貸款額度。

據報道，目前，在此供應合同之外，Delio也正與BlockFi討論加密資產金融業務上的合作方式。（edaily）[2022/6/7 4:07:31]

查看入賬和出賬信息，可以發現多筆轉到Tornado.Cash，說明黑客已經通過各種手法將盜來的幣進行來轉移。

黑客使用moralis服務作惡

我們在JS代碼409行發現使用到了域名為usemoralis.com的服務接口：

其中2053端口是API地址，而2083端口則是后臺登錄地址。

通過查詢發現usemoralis.com這個域名上有大量NFT相關網站，其中不少是屬于釣魚網站。

通過谷歌搜索發現不少NFT的站點，并發現多個子域信息。

于是我們遍歷和查詢usemoralis.com的子域名，發現共存在3千多個相關子域站點部署在cloudflare上。

進一步了解我們發現這些站點都是來自moralis提供的服務：

moralis是一個專門提供針對Web3開發和構建DApps的服務。

我們發現注冊后就可以得到接口地址和一個管理后臺，這使得制作釣魚網站作惡成本變得非常低。

發現詐騙后臺并關聯到釣魚事件

繼續分析JS代碼，在368行發現有將受害者地址提交到網站域名為pidhnone.se的接口。

經過統計，域名為pidhnone.se的接口有：

https://pidhnone.se/api/store/log

https://pidhnone.se/api/self-spoof/

https://pidhnone.se/api/address/

https://pidhnone.se/api/crypto/

進一步分析發現https://pidhnone.se/login其實是黑客操作的詐騙控制后臺，用來管理詐騙資產等信息。

根據后臺地址的接口拼接上地址，可以看到攻擊地址和受害者的地址。

后臺還存留關于圖片信息和相關接口操作說明文字，可以看出來是非常明顯的詐騙網站操作說明。

我們分析后臺里面涉及的信息，如圖片：

https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8

https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6

https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042

https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30

https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d

https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234

這里面涉及黑客歷史使用過的的釣魚網站信息，如nftshifter.io：

以nftshifter.io這個釣魚網站為例：

在Twitter上查找相關記錄可以看到2022年3月25日有受害者訪問過該釣魚網站并公布出來。

使用相同的方式分析?nftshifter.io：

得到?JS?源代碼并進行分析：

可以發現同樣也是采用moralis的服務和https://pidhnone.se/這個詐騙后臺進行控制。

其中相關的惡意地址：

釣魚者合約：

0x8beebade5b1131cf6957f2e8f8294016c276a90f

合約創建者：

0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee

創建合約時間：

Mar-24-202209:05:33PM+UTC?

同時我們發現與這個攻擊者相同的惡意合約代碼有9個：

隨機看一個惡意合約0xc9E...749，創建者地址為

0x6035B92fd5102b6113fE90247763e0ac22bfEF63：

相同的手法，都已經洗幣。每個惡意合約上都已經有受害者的記錄，此處不一一分析。

我們再來看下受害者時間：

剛好是在攻擊者創建惡意釣魚之后，有用戶上當受騙。

攻擊者已將NFT售出，變賣為ETH，我們使用MistTrack分析攻擊者地址

0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee：

可以看到51ETH已經轉入Tornado.Cash洗幣。同時，目前?Twitter上攻擊者的賬戶?@nftshifter_io?已經被凍結無法查看。

總結

可以確認的是，攻擊一直在發生，而且有成熟的產業鏈。截止到發文前黑客地址仍有新的NFT入賬和交易進行。黑客進行釣魚攻擊往往已成規模化批量化，制作一個釣魚模版就可以批量復制出大量不同NFT項目的釣魚網站。當作惡成本變得非常低的時候，更需要普通用戶提高警惕，加強安全意識，時刻保持懷疑，避免成為下一個受害者。

如何避免陷入欺詐的境地？慢霧安全團隊建議如下：

1.不要點擊來源不明的鏈接或附件，不要隨意泄露您的助記詞

2.使用強密碼并啟用雙重身份驗證以保護您的帳戶。

3.不確定的情況下，向多方進行驗證確認。

4.不要在網上傳輸敏感信息，攻擊者可以通過分析這些信息和數據向用戶發送有針對性的網絡釣魚電子郵件。

5.建議閱讀：《區塊鏈黑暗森林自救手冊》

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

Tags：ONENFTIDHTPSmooney幣能不能到1刀NFT AlleyIDH價格tps幣圈

火必下載