SWAP:慢雾：NFT 项目 verb 钓鱼网站分析

据慢雾区情报，发现 NFT 项目 verb 钓鱼网站如下：

钓鱼网站 1：https://mint-here.xyz/verblabs.html

钓鱼网站 2：https://verb-mint.netlify.app

我们先来分析钓鱼网站 1：

查看源代码，发现这个钓鱼网站直接使用 HTTrack 工具克隆

http://opensea-live.com/limited-sale/verblabsofficial/ 站点（钓鱼网站 3）。

此被克隆的站点非常可疑，似乎也是钓鱼网站。

慢雾：JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方:8月4日消息，慢雾MistTrack监测显示，JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方。[2023/8/4 16:18:46]

再来看下钓鱼网站 2：

这三个站点仿佛都是一个模版生成出来的。

对照三个钓鱼网站分别揪出钓鱼地址：

钓鱼地址 1：0xe7b2AAa70D6133c78006A078b95dF8Be3613385E

慢雾：NimbusPlatform遭遇闪电贷攻击，损失278枚BNB:据慢雾安全团队情报，2022 年 12 月 14 日， BSC 链上的NimbusPlatform项目遭到攻击，攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下：

1. 攻击者首先在 8 天前执行了一笔交易（0x7d2d8d），把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币，然后把 GNIMB 代币转入 Staking 合约作质押，为攻击作准备；

2. 在 8 天后正式发起攻击交易（0x42f56d3），首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB，然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出；

3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取，奖励的计算是和 rate 的值正相关的，而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格，由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的，导致其由于闪电贷兑换出大量的代币而变高，最后计算的奖励也会更多；

4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB，归还闪电贷获利；

此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控，从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。[2022/12/14 21:44:29]

钓鱼地址 2：0xa096356DeB502d1F5670A2E26a645eA4dbAA4741

慢雾：Ribbon Finance遭遇DNS攻击，某用户损失16.5 WBTC:6月24日消息，Ribbon Finance 发推表示遭遇 DNS 攻击，慢雾MistTrack通过链上分析发现攻击者与今天早前的Convex Finance 攻击者是同一个，地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻击者共用的用来调用恶意合约的钱包地址。同时分析发现，Ribbon Finance某用户在攻击中损失了 16.5 WBTC，具体交易为：https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

钓鱼地址 3：0x80eE5caDf0f04058b9dF853017542Ab3dF9D88d7

慢雾：Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

先分析钓鱼地址 1 (0xe7b…85E)：

发现地址 satrialingga.eth?转入过两笔 ETH，分别是 0.063 和 0.126。

随后在 Twitter 上找到了用户 /img/2022812222741/5.jpg">

?（https://twitter.com/satrialingga_/status/1529776369533480961）

根据用户 /img/2022812222741/6.jpg">

子直接留了个钓鱼形象的 NFT 图片，生怕别人认不出来这是钓鱼网站么？

接着，我们使用 MistTrack 分析钓鱼地址 1：

发现盗来的钱基本被立马转走。

查看交易数较大的这个地址：

0x7068626254842b0e836a257e034659fd1f211480：

该地址初始资金来自 TornadoCash 转入的两笔 1 ETH，总共收到约 37 ETH，并通过 189 笔转出洗币，有从 Binance 提币和入金的交易记录。

接着，我们来分析钓鱼网站 2。

发现地址 2（0xa09…741）将盗来的大部分 ETH 都被换成 USDT，并转到地址0xf44c65d285d6282c36b85e6265f68a2876bf0d39，目前未转移。

来看看最后一个钓鱼网站3：

经 MistTrack 分析，地址 3 （0x80e…8d7） 共收到约 5.5 ETH，入金交易有 53 笔，看来被的人挺多。

继续追踪，发现大部分 ETH 转入 Binance 地址

0x2ae27a28ffa6b08d4568133632268d1335e26996：

此地址在 MistTrack 的风险等级为高风险，共收到约 76 ETH。

以上就是本次关于 Verb 钓鱼网站的全部分析内容。

总结

本文主要是说明了由两个小钓鱼网站分析出一个大钓鱼网站的事件。NFT 钓鱼网站层出不穷，制作成本非常低，已经形成流程化专业化的产业链，这些子通常直接使用一些工具去 copy 比较出名的 NFT 项目网站，诱用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试登录或购买之前，务必验证正在使用的 NFT 网站的 URL。同时，不要点击不明链接，尽量通过官方网页或者官方的媒体平台去加入 Discord 等，这也能避免一些钓鱼。

By：耀&Lisa

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。