比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > SOL > Info

慢霧:「0 元購」NFT 釣魚網站分析_NFT

Author:

Time:1900/1/1 0:00:00

不要點擊不明鏈接,也不要在不明站點批準任何簽名請求。據慢霧區情報,發現NFT釣魚網站如下:

釣魚網站1:https://c01.host/

釣魚網站2:https://acade.link/

我們先來分析釣魚網站1:

進入網站連接錢包后,立即彈出簽名框,而當我嘗試點擊除簽名外的按鈕都沒有響應,看來只有一張圖片擺設。

我們先看看簽名內容:

Maker:用戶地址

Taker:0xde6135b63decc47d5a5d47834a7dd241fe61945a

數字化管理平臺Endowus籌集3500萬美元以在香港擴張:金色財經報道,EDBI支持的新加坡財富管理初創公司Endowus籌集了3500萬美元的資金。其他投資者包括Citi Ventures、MUFG Innovation Partners,UBS Next、Prosus Ventures、Lightspeed Venture Partners和Singtel Innov8等投資者。新資金使這家成立六年的初創公司的總資金達到9500萬美元。

Endowus計劃在香港擴張,該公司于4月份開始在香港開展業務。去年11月,新加坡區塊鏈證券交易所ADDX籌集2000萬美元來擴大其機構財富管理平臺。[2023/8/9 16:16:07]

Exchange:0x7f268357A8c2552623316e2562D90e642bB538E5,查詢后顯示是OpenSeaV2合約地址。

調查:超過90%的中央銀行表示,希望私人銀行處理KYC流程:金色財經報道,在國際清算銀行最近進行的一項民意調查中,超過90%的中央銀行表示,他們希望私人銀行處理KYC流程,并為其中央銀行數字貨幣向公眾提供錢包服務。[2023/7/16 10:57:39]

大概能看出,這是欺騙用戶簽名NFT的銷售訂單,NFT是由用戶持有的,一旦用戶簽名了此訂單,騙子就可以直接通過OpenSea購買用戶的NFT,但是購買的價格由騙子決定,也就是說騙子不花費任何資金就能「買」走用戶的NFT。

此外,簽名本身是為攻擊者存儲的,不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性,但可以取消你之前的掛單授權,這樣也能從根源上避免這種釣魚風險。

數據:9900萬枚USDC經由孫宇晨地址轉入幣安:金色財經報道,據Whale Alert數據監測,北京時間3月6日15:44,9900萬枚USDC(約合9898萬美元)從未知錢包轉移到孫宇晨地址,隨后15:46,孫宇晨地址將9900萬枚USDC轉入幣安。[2023/3/6 12:45:03]

查看源代碼,發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼,發現了釣魚網站多了以下內容:

Meta、微軟等將聯手為元宇宙構建通信網絡底座:10月25日消息,近日,電信基礎設施組織(TIP, Telecom Infra Project)宣布將成立一個名為“元宇宙就緒網絡”的項目組,為元宇宙業務應用提供新型電信網絡技術支持。其中,Meta Platforms(META.O)、微軟(MSFT.O)、T-Mobile US(TMUS.O)、西班牙電信和Sparkle將擔項目組的初始聯合主席。(金十)[2022/10/25 16:38:12]

查看此JS文件,又發現了一個釣魚站點?https://polarbears.in。

如出一轍,使用HTTrack復制了?https://polarbearsnft.com/,同樣地,只有一張靜態圖片擺設。

跟隨上圖的鏈接,我們來到?https://thedoodles.site,又是一個使用HTTrack的釣魚站點,看來我們走進了釣魚窩。

對比代碼,又發現了新的釣魚站點?https://themta.site,不過目前已無法打開。

通過搜索,發現與釣魚站點thedoodles.site相關的18個結果。同時,釣魚網站2也在列表里,同一伙騙子互相Copy,廣泛撒網。

再來分析釣魚站點2:

同樣,點擊進去就直接彈出請求簽名的窗口:

且授權內容與釣魚站點1的一樣:

Maker:用戶地址

Exchange:OpenSeaV2合約

Taker:騙子合約地址

先分析騙子合約地址,可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。

接著,我們使用MistTrack分析該合約的創建者地址:

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址,再往上追溯,資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的NFT釣魚方式,即騙子能夠以0ETH購買你所有授權的NFT,同時我們順藤摸瓜,扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前,務必驗證正在使用的NFT網站的URL。同時,不要點擊不明鏈接,也不要在不明站點批準任何簽名請求,定期檢查是否有與異常合約交互并及時撤銷授權。最后,做好隔離,資金不要放在同一個錢包里。

原文標題:《「零元購」NFT釣魚分析》

撰文:Lisa

來源:ForesightNews

來源:金色財經

Tags:NFTHTTTPSACKxNFTCHTT價格tps幣圈blackholecoin

SOL
Tornado Cash 制裁只是冰山一角?調查 Coinbase、FTX、幣安_加密貨幣

美國眾議院委員會指責加密公司在保護散戶投資者方面“缺乏行動”,認為與加密相關的欺詐是一個大問題.

1900/1/1 0:00:00
以太坊第二層擴展的敘事_NFT

去中心化是我投資底層公鏈的邏輯中非常看重的要素。不過在區塊鏈基礎設施中尤其是在以以太坊為核心的以太坊生態中,不僅有底層公鏈還有大量的輔助區塊鏈設施,第二層擴展就是其中之一.

1900/1/1 0:00:00
以太坊合并將會給加密世界帶來哪些“蝴蝶效應”_EFI

9月6日,以太坊Bellatrix升級計劃將在信標鏈上進行合并,以太坊合并正式進入倒計時階段。距離合并時間越來越近,各方人員也都積極的投入了緊張的準備工作之中.

1900/1/1 0:00:00
李鳴:數字經濟和數字產業化、產業數字化的關系_元宇宙

中國電子技術標準化研究院區塊鏈研究室主任、IEEE計算機協會區塊鏈和分布式記帳技術委員會主席、IEEE計算機協會元宇宙研究組主席李鳴李鳴:大家好,我是中國電子技術標準化研究院李鳴.

1900/1/1 0:00:00
3分鐘快速讀懂Move新公鏈——SUI_ETA

隨著上周Solana和Nomad黑客事件的發生,市場上對更加安全并具有可擴展性區塊鏈的需求越來越明顯.

1900/1/1 0:00:00
世界人工智能大會聚焦前沿技術融合 螞蟻鏈隱私協作平臺宣布重磅升級_FAI

9月1日-3日,2022世界人工智能大會在上海舉辦,除了AI技術和元宇宙之外,前沿技術融合實踐也成為今年一大亮點.

1900/1/1 0:00:00
ads