慢霧：29枚Moonbirds NFT被盜事件溯源分析_ONE

事件背景??

5 月 25 日，推特用戶?@0xLosingMoney?稱監測到 ID 為?@Dvincent_?的用戶通過釣魚網站 p2peers.io 盜走了 29 枚 Moonbirds 系列 NFT，價值超 70 萬美元，釣魚網站目前已無法訪問。該用戶表示，域名 sarek.fi 和 p2peers.io 都曾在過去的黑客事件中被使用。??

推特原文

慢霧安全團隊收到相關情報并針對此次被盜事件進行朔源分析。

我們開始在 Twitter 上搜集并分析此釣魚事件的相關信息時，發現?@Dvincent_?就是黑客的 Twitter 賬號，目前該賬戶已經被注銷。而根據 5 月 10 日的記錄，推特用戶?@just1n_eth（BAYC 系列 NFT 持有者）就表示?@Dvincent_?曾與其聯系交易 BAYC NFT，但由于對方堅持使用 p2peers.io，交易最后并未達成。??

在該推特評論下用戶 @jbe61 表示自己曾遇到同一個人并給出了對話截圖：??

5 月 25 日晚，@0xLosingMoney?繼續在 Twitter 公布了黑客的錢包等相關信息。??

下面是?@0xLosingMoney?給出的黑客地址：

· 0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D

· 0x8e73fe4d5839c60847066b67ea657a67f42a0adf

· 0x6035B92fd5102b6113fE90247763e0ac22bfEF63

慢霧：蘋果發布可導致任意代碼執行的嚴重漏洞提醒，請及時更新:7月11日消息，慢霧首席信息安全官23pds發推稱，近日蘋果發布嚴重漏洞提醒，官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行，據信這個已經存在被利用的情況，任意代碼危害嚴重，請及時更新。[2023/7/11 10:47:05]

· 0xBf41EFdD1b815556c2416DcF427f2e896142aa53

· 0x29C80c2690F91A47803445c5922e76597D1DD2B6

由于整個被盜事件都提到「p2peers.io」這個釣魚網站，所以我們從此處開始入手。這個在芬蘭某域名公司注冊的 p2peers 網站已被暫停使用，我們最終在谷歌網頁快照中尋找到了該網站首頁的信息。??

根據網頁快照可以發現?https://p2peers.io/?的前端代碼，其中主要的 JS 代碼是「js/app.eb17746b.js」。

由于已經無法直接查看 JS 代碼，利用?Cachedview?網站的快照歷史記錄查到在 2022 年 4 月 30 日主要的 JS 源代碼。

通過對 JS 的整理，我們查到了代碼中涉及到的釣魚網站信息和交易地址。

在代碼 912 行發現 approve 地址：

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

慢霧：針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息，慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認，火幣本著負責任披露信息的策略，對本次事件做以下說明：本次事件是小范圍內（4000人）的用戶聯絡信息泄露，信息種類不涉及敏感信息，不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致，相關用戶信息于2022年10月8日已經完全隔離，日本站與火幣全球站無關。本次事件由白帽團隊發現后，火幣安全團隊2023年6月21日（10天前）已第一時間進行處理，立即關閉相關文件訪問權限，當前漏洞已修復，所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待，切勿傳謠。[2023/7/1 22:12:01]

在代碼 3407 行同樣發現關于 approve 相關操作的地址：

0xc9E39Ad832cea1677426e5fA8966416337F88749

我們開始分析這兩個地址的交易記錄：

首先在 Etherscan 查詢發現 0x7F7...b6A?是一個惡意合約地址：

而這個惡意合約的創建者（攻擊者）是地址：

0xd975f8c82932f55c7cef51eb4247f2bea9604aa3，發現這個地址有多筆 NFT 交易記錄：

我們在 NFTGO 網站進一步查看，根據該地址目前 NFT 持有情況，發現被盜 NFT 目前都停留在此地址上還沒有售出，總價值約為 225,475 美元。??

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

而使用 NFTSCAN 發現 NFT 數量一共是 21 個，價值 96.5 枚 ETH。??

繼續使用 MistTrack 分析攻擊者地址交易歷史：??

可以發現該地址的 ETH 交易次數并不多只有 12 次，余額只有 0.0615 枚 ETH。??

0xc9E39Ad832cea1677426e5fA8966416337F88749 也是合約地址，合約創建者是 0x6035B92fd5102b6113fE90247763e0ac22bfEF63，這個地址在 @0xLosingMoney 公布的黑客地址名單中也有提到。??

使用?MistTrack 發現這個地址余額同樣不多，入賬有 21 筆而出賬有?97 筆，其中已轉出共?106.2 枚?ETH。??

慢霧：Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息，慢霧監測顯示，Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產，該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移；第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產；第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI，目前有約3970萬美元的加密資產。

目前慢霧經過梳理后，無法將地址3與其他兩個地址連接起來，但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

查看入賬和出賬信息，可以發現多筆轉到 Tornado.Cash，說明黑客已經通過各種手法將盜來的幣進行來轉移。

我們在 JS 代碼 409 行發現使用到了域名為 usemoralis.com 的服務接口：

其中 2053 端口是 API 地址，而 2083 端口則是后臺登錄地址。??

通過查詢發現 usemoralis.com 這個域名上有大量 NFT 相關網站，其中不少是屬于釣魚網站。

通過谷歌搜索發現不少 NFT 的站點，并發現多個子域信息。

于是我們遍歷和查詢 usemoralis.com 的子域名，發現共存在 3 千多個相關子域站點部署在 cloudflare 上。??

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

進一步了解我們發現這些站點都是來自 moralis 提供的服務：??

moralis 是一個專門提供針對 Web3 開發和構建 DApps 的服務。??

我們發現注冊后就可以得到接口地址和一個管理后臺，這使得制作釣魚網站作惡成本變得非常低。

繼續分析 JS 代碼，在 368 行發現有將受害者地址提交到網站域名為 pidhnone.se 的接口。

經過統計，域名為 pidhnone.se 的接口有：

· https://pidhnone.se/api/store/log

· https://pidhnone.se/api/self-spoof/

· https://pidhnone.se/api/address/

· https://pidhnone.se/api/crypto/

進一步分析發現 https://pidhnone.se/login 其實是黑客操作的詐騙控制后臺，用來管理詐騙資產等信息。

根據后臺地址的接口拼接上地址，可以看到攻擊地址和受害者的地址。??

后臺還存留關于圖片信息和相關接口操作說明文字，可以看出來是非常明顯的詐騙網站操作說明。??

我們分析后臺里面涉及的信息，如圖片：

https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8

https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6

https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042

https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30

https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d

https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234

這里面涉及黑客歷史使用過的的釣魚網站信息，如 nftshifter.io：??

以 nftshifter.io 這個釣魚網站為例：??

在 Twitter 上查找相關記錄可以看到 2022 年 3 月 25 日有受害者訪問過該釣魚網站并公布出來。??

使用相同的方式分析? nftshifter.io：??

得到?JS?源代碼并進行分析：??

可以發現同樣也是采用 moralis 的服務和 https://pidhnone.se/ 這個詐騙后臺進行控制。

其中相關的惡意地址：

釣魚者合約：

0x8beebade5b1131cf6957f2e8f8294016c276a90f

合約創建者：

0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee

創建合約時間：

Mar-24-2022 09:05:33 PM +UTC?

同時我們發現與這個攻擊者相同的惡意合約代碼有 9 個：??

隨機看一個惡意合約 0xc9E...749，創建者地址為

0x6035B92fd5102b6113fE90247763e0ac22bfEF63：

相同的手法，都已經洗幣。每個惡意合約上都已經有受害者的記錄，此處不一一分析。

我們再來看下受害者時間：??

剛好是在攻擊者創建惡意釣魚之后，有用戶上當受騙。

攻擊者已將 NFT 售出，變賣為 ETH，我們使用 MistTrack 分析攻擊者地址

0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee：

可以看到 51 ETH 已經轉入 Tornado.Cash 洗幣。同時，目前?Twitter 上攻擊者的賬戶?@nftshifter_io?已經被凍結無法查看。

可以確認的是，攻擊一直在發生，而且有成熟的產業鏈。截止到發文前黑客地址仍有新的 NFT 入賬和交易進行。黑客進行釣魚攻擊往往已成規模化批量化，制作一個釣魚模版就可以批量復制出大量不同 NFT 項目的釣魚網站。當作惡成本變得非常低的時候，更需要普通用戶提高警惕，加強安全意識，時刻保持懷疑，避免成為下一個受害者。

來源：慢霧科技

作者：山哥&耀，慢霧安全團隊

Tags：ONENFTETHIDHonekeydownloadsBNFT幣ethnographyinbusinessIDH價格

TUSD