慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_NFT

背景

9月4日，推特用戶PhantomX發推稱朝鮮APT組織針對數十個ETH和SOL項目進行大規模的網絡釣魚活動。

該推特用戶給出了196個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對NFT釣魚進行分析。

釣魚網站分析

經過深入分析，發現此次釣魚的其中一種方式是發布虛假NFT相關的、帶有惡意Mint的誘餌網站，這些NFT在OpenSea、X2Y2和Rarible等平臺上都有出售。此次APT組織針對Crypto和NFT用戶的釣魚涉及將近500多個域名。

慢霧：Platypus再次遭遇攻擊，套利者獲取約5萬美元收益:7月12日消息，SlowMist發推稱，穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異，導致用戶可以通過存入USDC然后提取更多USDT來套利，套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到7個月前：

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過HTTPGET請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的API?接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php??mmAddr=......&accessTime=xxx&url=evil.site”，其中參數mmAddr記錄訪客的錢包地址，accessTime記錄訪客的訪問時間，url記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息，據慢霧發推稱，過去一周Web3生態系統因安全事件損失約2400萬美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital，總計23,795,800美元。[2023/6/19 21:46:18]

特征二：釣魚網站會請求一個NFT項目價目表，通常HTTP的請求路徑為“getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件“imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

慢霧：利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道，SlowMist發布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻擊，利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日，利用者發起了20提案，并在提案中說明20提案是對16提案的補充，具有相同的執行邏輯。但實際上，提案合約多了一個自毀邏輯，其創建者是通過create2創建的，具有自毀功能，所以在與提案合約自毀后，利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是，社區沒有看到擬議合約中的犯規行為，許多用戶投票支持該提案。

在5月18日，利用者通過創建具有多個交易的新地址，反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性，利用者在5月20日7:18（UTC）銷毀了提案執行合約，并在同一地址部署了一個惡意合約，其邏輯是修改用戶在治理中鎖定的代幣數量。

攻擊者修改完提案合約后，于5月20日7:25（UTC）執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的，因此，該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后，攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡，同時利用者控制了治理。[2023/5/21 15:17:00]

進一步分析發現APT用于監控用戶請求的主要域名為“thedoodles.site”，此域名在APT活動早期主要用來記錄用戶數據：

慢霧：美國演員SethGreen的NFT遭釣魚攻擊，資金已跨鏈到 BTC 并混幣:5月18日消息，美國演員SethGreen遭遇釣魚攻擊致4個NFT（包括1個BAYC、2個MAYC和1個Doodle）被盜，釣魚者地址已將NFT全部售出，獲利近160枚ETH（約33萬美元）。

慢霧MistTrack對0xC8a0907開頭的釣魚地址分析后，發現總共有8個用戶的NFT被盜，包含MAYC、Doodle、BAYC、VOX等12類NFT，全部售出后總獲利194ETH。同時，該釣魚地址初始資金0.188ETH來自Change NOW。釣魚者地址將大部分ETH轉換為renBTC后跨鏈到6個BTC地址，約14BTC均通過混幣轉移以躲避追蹤。NFT釣魚無處不在，請大家保持懷疑，提高警惕。[2022/5/18 3:24:23]

查詢該域名的HTTPS證書啟用時間是在7個月之前，黑客組織已經開始實施對NFT用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

慢霧：PAID Network攻擊者直接調用mint函數鑄幣:慢霧科技發文對于PAID Network遭攻擊事件進行分析。文章中指出，在對未開源合約進行在反編譯后發現合約的 mint 函數是存在鑒權的，而這個地址，正是攻擊者地址(0x187...65be)。由于合約未開源，無法查看更具體的邏輯，只能基于現有的情況分析。慢霧科技分析可能是地址(0x187...65be)私鑰被盜，或者是其他原因，導致攻擊者直接調用 mint 函數進行任意鑄幣。

此前報道，PAID Network今天0點左右遭到攻擊，增發將近6000萬枚PAID代幣，按照當時的價格約為1.6億美元，黑客從中獲利2000ETH。[2021/3/6 18:21:08]

比如最新的站點偽裝成世界杯主題：

繼續根據相關的HTTPS證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。

其中還包括受害者approve記錄：

以及簽名數據sigData等，由于比較敏感此處不進行展示。

另外，統計發現主機相同IP下NFT釣魚站群，單獨一個IP下就有372個NFT釣魚站點：

另一個IP下也有320個NFT釣魚站群：

甚至包括朝鮮黑客在經營的一個DeFi平臺：

由于篇幅有限，此處不再贅述。

釣魚手法分析

結合之前文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI等多個地址協議。

下面代碼用于誘導受害者進行授權NFT、ERC?20等較常見的釣魚Approve操作：

除此之外，黑客還會誘導受害者進行Seaport、Permit等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是“opensea.io”這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和“Seaport”的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。

MistTrack分析

對釣魚網站及手法分析后，我們選取其中一個釣魚地址進行分析。

可以看到這個地址已被MistTrack標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到1055個NFT，售出后獲利近300ETH。

往上溯源，該地址的初始資金來源于地址轉入的4.97ETH。往下溯源，則發現該地址有與其他被MistTrack標記為風險的地址有交互，以及有5.7ETH轉入了FixedFloat。

再來分析下初始資金來源地址，目前收到約6.5ETH。初始資金來源于Binance轉入的1.433ETH。

同時，該地址也是與多個風險地址進行交互。

總結

由于保密性和隱私性，本文僅針對其中一部分?NFT?釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。

Ps.感謝hip、ScamSniffer提供的支持。

相關鏈接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136?

https://twitter.com/evilcos/status/1603969894965317632?

Tags：NFTETHHTTTPSBNFT價格ethylenesphtt幣騙局https://etherscan.io

中幣下載