By:Lisa
據慢霧區情報,發現NFT?釣魚網站如下:
釣魚網站1:https://c01.host/
釣魚網站2:https://acade.link/
我們先來分析釣魚網站1:
進入網站連接錢包后,立即彈出簽名框,而當我嘗試點擊除簽名外的按鈕都沒有響應,看來只有一張圖片擺設。
我們先看看簽名內容:
Maker:用戶地址
Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a
慢霧:警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道,近期,慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試,通過一個如圖這樣的“Root 簽名”即可以極低成本(特指“零元購”)釣走目標用戶在 Blur 平臺授權的所有 NFT,Blur 平臺的這個“Root 簽名”格式類似“盲簽”,用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕,當發現來非 Blur 官方域名(blur.io)的“Root 簽名”,一定要拒絕,避免潛在的資產損失。[2023/3/7 12:46:39]
Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查詢后顯示是OpenSeaV2合約地址。
可口可樂推出首款基于元宇宙元素設計的可樂產品“零糖字節”:金色財經報道,近日,可口可樂推出了首款基于元宇宙題材設計的可樂新款產品“零糖字節”(Coca-Cola Zero Sugar Byte)。可口可樂表示,“‘零糖字節’是一款跨越了數字與物理世界、融合時下熱門的元宇宙元素而設計的可樂。”
據悉,該款可樂目前面向部分拉丁美洲國家限量發售,隨后5月2日,在美國網上售賣,之后將于5月23日登陸中國零售市場。
同時,為了推廣新飲料,可口可樂與Epic Games合作,在廣受玩家歡迎的游戲“堡壘之夜”中創建了名為“Pixel Point”數字海島,通過掃碼“零糖字節”可樂罐體二維碼,玩家即能暢玩四款沉浸式互動挑戰小游戲。(同花順)[2022/4/7 14:09:59]
Gate.io研究院發布“零知識證明于區塊鏈中的落地應用”報告:Gate.io研究院于今日發布“零知識證明于區塊鏈中的落地應用”報告。報告指出,在區塊鏈技術加快發展的背景下,多種應用場景應運而生,隨之而來的是用戶在隱私安全方面的更高需求。當前,眾多區塊鏈開發團隊提出了多種不同的用戶隱私安全保護機制。
其中,零知識證明與區塊鏈技術相結合作為一種新方案為提高區塊鏈隱私安全性提供了更多可能。該報告結合“零知識證明”的采納項目、區塊鏈系統“Zcash”的相關情況,對“Zcash”加密技術以及零知識證明進行了深入探討。 詳情點擊原文鏈接。[2020/6/28]
大概能看出,這是欺騙用戶簽名NFT的銷售訂單,NFT是由用戶持有的,一旦用戶簽名了此訂單,騙子就可以直接通過OpenSea購買用戶的NFT,但是購買的價格由騙子決定,也就是說騙子不花費任何資金就能“買”走用戶的NFT。
掌柜調查署丨蘭建忠:火幣合約實現“零分攤”關鍵在于“2+1”投資者保護基金:在今日的掌柜調查署上,火幣集團副總裁蘭建忠發言指出:火幣合約實現全品種“零分攤”關鍵在于“2+1”的投資者保護基金先行賠付機制。
首先是安全備付金:火幣合約和Huobi Global共用安全備付金。該保護基金總額20,000 BTC,專項用于應對火幣平臺可能出現的極端突發安全事故。
第二是風險準備金:風險準備金是用于應付因強平單未能平出而產生的穿倉損失。每一個合約品種,都有一個風險準備金。
第三是 零分攤保證金:零分攤保證金則是火幣合約自2018年12月上線以來,就開啟的一筆200萬美元的“零分攤”保障資金。[2020/3/10]
此外,簽名本身是為攻擊者存儲的,不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性,但可以取消你之前的掛單授權,這樣也能從根源上避免這種釣魚風險。
查看源代碼,發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼,發現了釣魚網站多了以下內容:
查看此JS文件,又發現了一個釣魚站點https://polarbears.in。
如出一轍,使用HTTrack復制了https://polarbearsnft.com/,同樣地,只有一張靜態圖片擺設。
跟隨上圖的鏈接,我們來到?https://thedoodles.site,又是一個使用?HTTrack的釣魚站點,看來我們走進了釣魚窩。
對比代碼,又發現了新的釣魚站點https://themta.site,不過目前已無法打開。
通過搜索,發現與釣魚站點thedoodles.site相關的18個結果。同時,釣魚網站2也在列表里,同一伙騙子互相Copy,廣泛撒網。
再來分析釣魚站點2,同樣,點擊進去就直接彈出請求簽名的窗口:
且授權內容與釣魚站點1的一樣:
Maker:用戶地址
Exchange:OpenSeaV2合約
Taker:騙子合約地址
先分析騙子合約地址,可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。
接著,我們使用MistTrack分析該合約的創建者地址:
發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址,再往上追溯,資金則來自另外三個釣魚地址。
總結
本文主要是說明了一種較為常見的NFT釣魚方式,即騙子能夠以0ETH購買你所有授權的NFT,同時我們順藤摸瓜,扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前,務必驗證正在使用的NFT網站的URL。同時,不要點擊不明鏈接,也不要在不明站點批準任何簽名請求,定期檢查是否有與異常合約交互并及時撤銷授權。最后,做好隔離,資金不要放在同一個錢包里。
Tags:NFTHTTBLU區塊鏈MOONCAT Vault (NFTX)htt幣騙局blur幣前景怎么樣區塊鏈存證的特征有
Vitalik在本次對話中討論了加密行業的重大轉變,包括工作量證明與權益證明、最近加密市場的崩盤、加密貨幣安全、去中心化治理、“網絡國家”等方面.
1900/1/1 0:00:002021年以來,元宇宙、NFT、數字藏品等新概念、新技術的不斷破圈,讓Web3得到了前所未有的關注,即使是相對保守的國內市場,也有不少互聯網大廠和傳統品牌相繼入局.
1900/1/1 0:00:00以下是當前加密貨幣領域中所有令人興奮事情的快速備忘單。如果你沒有時間花一整天的時間研究加密推特上的熱門話題、推動市場的敘事以及值得關注的行情催化劑,別擔心.
1900/1/1 0:00:008月30日,最高人民法院、最高人民檢察院、部聯合發布《關于辦理信息網絡犯罪案件適用刑事訴訟程序若干問題的意見》.
1900/1/1 0:00:00數年等待,不負期待。北京時間2022年9月15日02:44PM左右,以太坊?TheMerge正式被激活,幾分鐘后,第一個epoch完成,標志著以太坊區塊鏈完成了由工作量證明向權益證明的過渡,Po.
1900/1/1 0:00:008月30日,據相關報道,美國德克薩斯州比特幣區塊生產者申請使用高達33GW的電力,這些用電需求比電網未來10年準備處理的需求高出33%,約等于紐約州用電需求.
1900/1/1 0:00:00