ABU:慢雾:29枚Moonbirds NFT被盗事件溯源分析

原文作者:山哥&耀@慢雾安全团队

NFT,价值超70万美元,钓鱼网站目前已无法访问。该用户表示,域名sarek.fi和p2peers.io都曾在过去的黑客事件中被使用。

搜集相关信息

慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。

我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时,发现@Dvincent_?就是黑客的Twitter账号,目前该账户已经被注销。而根据5月10日的记录,推特用户?@just1n_eth就表示?@Dvincent_?曾与其联系交易BAYCNFT,但由于对方坚持使用p2peers.io,交易最后并未达成。

5月25日晚,@0xLosingMoney?继续在Twitter公布了黑客的钱包等相关信息。

下面是?@0xLosingMoney?给出的黑客地址:

?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D

?0x8e73fe4d5839c60847066b67ea657a67f42a0adf

?0x6035B92fd5102b6113fE90247763e0ac22bfEF63

慢雾:过去一周Web3生态系统因安全事件损失近160万美元:6月26日消息,慢雾发推称,过去一周Web3生态系统因安全事件损失近160万美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]

?0xBf41EFdD1b815556c2416DcF427f2e896142aa53

?0x29C80c2690F91A47803445c5922e76597D1DD2B6

根据网页快照可以发现https://p2peers.io/的前端代码,其中主要的JS代码是“js/app.eb17746b.js”。

由于已经无法直接查看JS代码,利用?Cachedview?网站的快照历史记录查到在2022年4月30日主要的JS源代码。

通过对JS的整理,我们查到了代码中涉及到的钓鱼网站信息和交易地址。

在代码912行发现approve地址:

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

在代码3407行同样发现关于approve相关操作的地址:

慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

0xc9E39Ad832cea1677426e5fA8966416337F88749

我们开始分析这两个地址的交易记录:

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

0xc9E39Ad832cea1677426e5fA8966416337F88749

首先在Etherscan查询发现0x7F7...b6A?是一个恶意合约地址:

而这个恶意合约的创建者是地址:

0xd975f8c82932f55c7cef51eb4247f2bea9604aa3,发现这个地址有多笔NFT交易记录:

慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:

1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

我们在NFTGO网站进一步查看,根据该地址目前NFT持有情况,发现被盗NFT目前都停留在此地址上还没有售出,总价值约为225,475美元。

慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;

2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;

3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;

5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;

7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;

9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

而使用NFTSCAN发现NFT数量一共是21个,价值96.5枚ETH。

声音 | 慢雾:使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息,近日,注意到撞库攻击导致用户数字货币被盗的情况,具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测,同时用户在这些中心化服务里并未开启双因素认证。分析认为,被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全,但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系,且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致,这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

继续使用MistTrack分析攻击者地址交易历史:

可以发现该地址的ETH交易次数并不多只有12次,余额只有0.0615枚ETH。

0xc9E39Ad832cea1677426e5fA8966416337F88749也是合约地址,合约创建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63,这个地址在@0xLosingMoney公布的黑客地址名单中也有提到。

使用MistTrack发现这个地址余额同样不多,入账有21笔而出账有97笔,其中已转出共106.2枚ETH。

查看入账和出账信息,可以发现多笔转到Tornado.Cash,说明黑客已经通过各种手法将盗来的币进行来转移。

其中2053端口是API地址,而2083端口则是后台登录地址。

通过查询发现usemoralis.com这个域名上有大量NFT相关网站,其中不少是属于钓鱼网站。

通过谷歌搜索发现不少NFT的站点,并发现多个子域信息。

于是我们遍历和查询usemoralis.com的子域名,发现共存在3千多个相关子域站点部署在cloudflare上。

进一步了解我们发现这些站点都是来自moralis提供的服务:

moralis是一个专门提供针对Web3开发和构建DApps的服务。

我们发现注册后就可以得到接口地址和一个管理后台,这使得制作钓鱼网站作恶成本变得非常低。

经过统计,域名为pidhnone.se的接口有:

https://pidhnone.se/api/store/log

https://pidhnone.se/api/self-spoof/

https://pidhnone.se/api/address/

https://pidhnone.se/api/crypto/

进一步分析发现https://pidhnone.se/login其实是黑客操作的控制后台,用来管理资产等信息。

根据后台地址的接口拼接上地址,可以看到攻击地址和受害者的地址。

后台还存留关于图片信息和相关接口操作说明文字,可以看出来是非常明显的网站操作说明。

我们分析后台里面涉及的信息,如图片:

https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8

https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6

https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042

https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30

https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d

https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234

这里面涉及黑客历史使用过的的钓鱼网站信息,如nftshifter.io:

以nftshifter.io这个钓鱼网站为例:

在Twitter上查找相关记录可以看到2022年3月25日有受害者访问过该钓鱼网站并公布出来。

使用相同的方式分析?nftshifter.io:

得到JS?源代码并进行分析:

可以发现同样也是采用moralis的服务和https://pidhnone.se/这个后台进行控制。

其中相关的恶意地址:

钓鱼者合约:

0x8beebade5b1131cf6957f2e8f8294016c276a90f

合约创建者:

0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee

创建合约时间:

Mar-24-202209:05:33PMUTC?

同时我们发现与这个攻击者相同的恶意合约代码有9个:

随机看一个恶意合约0xc9E...749,创建者地址为

0x6035B92fd5102b6113fE90247763e0ac22bfEF63:

相同的手法,都已经洗币。每个恶意合约上都已经有受害者的记录,此处不一一分析。

我们再来看下受害者时间:

刚好是在攻击者创建恶意钓鱼之后,有用户上当受。

攻击者已将NFT售出,变卖为ETH,我们使用MistTrack分析攻击者地址

0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee:

可以看到51ETH已经转入Tornado.Cash洗币。同时,目前Twitter上攻击者的账户@nftshifter_io已经被冻结无法查看。

产业链。截止到发文前黑客地址仍有新的NFT入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化,制作一个钓鱼模版就可以批量复制出大量不同NFT项目的钓鱼网站。当作恶成本变得非常低的时候,更需要普通用户提高警惕,加强安全意识,时刻保持怀疑,避免成为下一个受害者。

如何避免陷入欺诈的境地?慢雾安全团队建议如下:

1.不要点击来源不明的链接或附件,不要随意泄露您的助记词

2.使用强密码并启用双重身份验证以保护您的帐户。

3.不确定的情况下,向多方进行验证确认。

4.不要在网上传输敏感信息,攻击者可以通过分析这些信息和数据向用户发送有针对性的网络钓鱼电子邮件。

5.建议阅读:《区块链黑暗森林自救手册》

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:62ms0-0:595ms