慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_ETH

背景

9月2日，慢霧安全團隊發現疑似APT團伙針對加密生態的NFT用戶進行大規模釣魚活動，并發布了《“零元購”NFT釣魚分析》。9月4日，推特用戶PhantomX發推稱朝鮮APT組織針對數十個ETH和SOL項目進行大規模的網絡釣魚活動。

該推特用戶給出了196個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對NFT釣魚進行分析。釣魚網站分析

經過深入分析，發現此次釣魚的其中一種方式是發布虛假NFT相關的、帶有惡意Mint的誘餌網站，這些NFT在OpenSea、X2Y2和Rarible等平臺上都有出售。此次APT組織針對Crypto和NFT用戶的釣魚涉及將近500多個域名。查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到7個月前：

慢霧：6月24日至28日Web3生態因安全問題損失近1.5億美元:7月3日消息，慢霧發推稱，自6月24日至6月28日，Web3生態因安全問題遭遇攻擊損失149,658,500美元，包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過HTTPGET請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的API接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php?mmAddr=......&accessTime=xxx&url=evil.site”，其中參數mmAddr記錄訪客的錢包地址，accessTime記錄訪客的訪問時間，url記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：Poly Network再次遭遇黑客攻擊，黑客已獲利價值超439萬美元的主流資產:金色財經報道，據慢霧區情報，Poly Network再次遭遇黑客攻擊。分析發現，主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析，ETH鏈第一筆手續費為Tornado Cash: 1 ETH，BSC鏈手續費來源為Kucoin和ChangeNOW，Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前，部分被盜Token （sUSD、RFuel、COOK等）被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產，剩余被盜資金被分散到多條鏈60多個地址中，暫未進一步轉移，全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

特征二：釣魚網站會請求一個NFT項目價目表，通常HTTP的請求路徑為“getPriceData.php”：

慢霧：pGALA合約黑客已獲利430萬美元:11月4日消息，安全團隊慢霧在推特上表示，pGALA合約黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。此外，黑客的初始資金來自幾個幣安賬戶。

今日早些時候消息，一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致，GALA跨鏈橋已暫停，請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

特征三：存在一個鏈接圖像到目標項目的文件“imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

進一步分析發現APT用于監控用戶請求的主要域名為“thedoodles.site”，此域名在APT活動早期主要用來記錄用戶數據：

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

查詢該域名的HTTPS證書啟用時間是在7個月之前，黑客組織已經開始實施對NFT用戶對攻擊。

慢霧：ERC721R示例合約存在缺陷，本質上是由于owner權限過大問題:4月12日消息，據@BenWAGMI消息，ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析，此缺陷本質上是由于owner權限過大問題，在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時，其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數，owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

最后來看下黑客到底運行和部署了多少個釣魚站點：比如最新的站點偽裝成世界杯主題：

繼續根據相關的HTTPS證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。其中還包括受害者approve記錄：

以及簽名數據sigData等，由于比較敏感此處不進行展示。另外，統計發現主機相同IP下NFT釣魚站群，單獨一個IP下就有372個NFT釣魚站點：

另一個IP下也有320個NFT釣魚站群：

甚至包括朝鮮黑客在經營的一個DeFi平臺：

由于篇幅有限，此處不再贅述。釣魚手法分析

結合之前《NFT零元購釣魚》文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI等多個地址協議。

下面代碼用于誘導受害者進行授權NFT、ERC20等較常見的釣魚Approve操作：

除此之外，黑客還會誘導受害者進行Seaport、Permit等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是“opensea.io”這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和“Seaport”的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。MistTrack分析

對釣魚網站及手法分析后，我們選取其中一個釣魚地址進行分析。可以看到這個地址已被MistTrack標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到1055個NFT，售出后獲利近300ETH。

往上溯源，該地址的初始資金來源于地址轉入的4.97ETH。往下溯源，則發現該地址有與其他被MistTrack標記為風險的地址有交互，以及有5.7ETH轉入了FixedFloat。

再來分析下初始資金來源地址，目前收到約6.5ETH。初始資金來源于Binance轉入的1.433ETH。

同時，該地址也是與多個風險地址進行交互。

總結

由于保密性和隱私性，本文僅針對其中一部分NFT釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。Ps.感謝hip、ScamSniffer提供的支持。相關鏈接：https://www.prevailion.com/what-wicked-webs-we-unweavehttps://twitter.com/PhantomXSec/status/1566219671057371136https://twitter.com/evilcos/status/1603969894965317632原地址

Tags：NFTSTAETHINGSNFT幣WSTAYFETHhummingbirdfinance

波場