NFT:慢雾：29枚Moonbirds NFT被盗事件溯源分析

事件背景??

5 月 25 日，推特用户?/img/2022812221702/0.jpg" />

推特原文

慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。

我们开始在 Twitter 上搜集并分析此钓鱼事件的相关信息时，发现?/img/2022812221702/1.jpg" />

在该推特评论下用户 /img/2022812221702/2.jpg" />

5 月 25 日晚，/img/2022812221702/3.jpg" />

下面是?/img/2022812221702/4.jpg" />

根据网页快照可以发现?https://p2peers.io/?的前端代码，其中主要的 JS 代码是「js/app.eb17746b.js」。

由于已经无法直接查看 JS 代码，利用?Cachedview?网站的快照历史记录查到在 2022 年 4 月 30 日主要的 JS 源代码。

通过对 JS 的整理，我们查到了代码中涉及到的钓鱼网站信息和交易地址。

在代码 912 行发现 approve 地址：

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上/img/2022812221702/8.jpg" />

在代码 3407 行同样发现关于 approve 相关操作的地址：

0xc9E39Ad832cea1677426e5fA8966416337F88749

我们开始分析这两个地址的交易记录：

首先在 Etherscan 查询发现 0x7F7...b6A?是一个恶意合约地址：

而这个恶意合约的创建者（攻击者）是地址：

0xd975f8c82932f55c7cef51eb4247f2bea9604aa3，发现这个地址有多笔 NFT 交易记录：

慢雾：DOD合约中的BUSD代币被非预期取出，主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报，2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下：

1. DOD 项目使用了一种特定的锁仓机制，当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁，若不满足以上条件，DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下，用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币，即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低，恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中，以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数，将持有的 DOD 代币转入 DOD 合约中，既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]

我们在 NFTGO 网站进一步查看，根据该地址目前 NFT 持有情况，发现被盗 NFT 目前都停留在此地址上还没有售出，总价值约为 225,475 美元。??

慢雾：Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报，2022年1月18日，bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示，此次攻击是由于setTrustedForwarder函数未做权限限制，且在获取调用者地址的函数_msg.sender()中，写了一个特殊的判断，导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]

而使用 NFTSCAN 发现 NFT 数量一共是 21 个，价值 96.5 枚 ETH。??

继续使用 MistTrack 分析攻击者地址交易历史：??

可以发现该地址的 ETH 交易次数并不多只有 12 次，余额只有 0.0615 枚 ETH。??

0xc9E39Ad832cea1677426e5fA8966416337F88749 也是合约地址，合约创建者是 0x6035B92fd5102b6113fE90247763e0ac22bfEF63，这个地址在 /img/2022812221702/17.jpg" />

使用?MistTrack 发现这个地址余额同样不多，入账有 21 笔而出账有?97 笔，其中已转出共?106.2 枚?ETH。??

查看入账和出账信息，可以发现多笔转到 Tornado.Cash，说明黑客已经通过各种手法将盗来的币进行来转移。

慢雾：yearn攻击者利用闪电贷通过若干步骤完成获利:2021年02月05日，据慢雾区情报，知名的链上机池yearnfinance的DAI策略池遭受攻击，慢雾安全团队第一时间跟进分析，并以简讯的形式给大家分享细节，供大家参考：

1.攻击者首先从dYdX和AAVE中使用闪电贷借出大量的ETH；

2.攻击者使用从第一步借出的ETH在Compound中借出DAI和USDC；

3.攻击者将第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，这个时候由于攻击者存入流动性巨大，其实已经控制CruveDAI/USDC/USDT的大部分流动性；

4.攻击者从Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)贬值；

5.攻击者第三步将剩余的DAI充值进yearnDAI策略池中，接着调用yearnDAI策略池的earn函数，将充值的DAI以失衡的比例转入CurveDAI/USDT/USDC池中，同时yearnDAI策略池将获得一定量的3CRV代币；

6.攻击者将第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢复；

7.攻击者触发yearnDAI策略池的withdraw函数，由于yearnDAI策略池存入时用的是失衡的比例，现在使用正常的比例体现，DAI在池中的占比提升，导致同等数量的3CRV代币能取回的DAI的数量会变少。这部分少取回的代币留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻击者已经持有了CurveDAI/USDC/USDT池中大部分的流动性，导致yearnDAI策略池未能取回的DAI将大部分分给了攻击者9.重复上述3-8步骤5次，并归还闪电贷，完成获利。参考攻击交易见原文链接。[2021/2/5 18:58:47]

我们在 JS 代码 409 行发现使用到了域名为 usemoralis.com 的服务接口：

其中 2053 端口是 API 地址，而 2083 端口则是后台登录地址。??

通过查询发现 usemoralis.com 这个域名上有大量 NFT 相关网站，其中不少是属于钓鱼网站。

通过谷歌搜索发现不少 NFT 的站点，并发现多个子域信息。

于是我们遍历和查询 usemoralis.com 的子域名，发现共存在 3 千多个相关子域站点部署在 cloudflare 上。??

进一步了解我们发现这些站点都是来自 moralis 提供的服务：??

moralis 是一个专门提供针对 Web3 开发和构建 DApps 的服务。??

我们发现注册后就可以得到接口地址和一个管理后台，这使得制作钓鱼网站作恶成本变得非常低。

继续分析 JS 代码，在 368 行发现有将受害者地址提交到网站域名为 pidhnone.se 的接口。

经过统计，域名为 pidhnone.se 的接口有：

· https://pidhnone.se/api/store/log

· https://pidhnone.se/api/self-spoof/

· https://pidhnone.se/api/address/

· https://pidhnone.se/api/crypto/

进一步分析发现 https://pidhnone.se/login 其实是黑客操作的控制后台，用来管理资产等信息。

根据后台地址的接口拼接上地址，可以看到攻击地址和受害者的地址。??

后台还存留关于图片信息和相关接口操作说明文字，可以看出来是非常明显的网站操作说明。??

我们分析后台里面涉及的信息，如图片：

https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8

https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6

https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042

https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30

https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d

https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234

这里面涉及黑客历史使用过的的钓鱼网站信息，如 nftshifter.io：??

以 nftshifter.io 这个钓鱼网站为例：??

在 Twitter 上查找相关记录可以看到 2022 年 3 月 25 日有受害者访问过该钓鱼网站并公布出来。??

使用相同的方式分析? nftshifter.io：??

得到?JS?源代码并进行分析：??

可以发现同样也是采用 moralis 的服务和 https://pidhnone.se/ 这个后台进行控制。

其中相关的恶意地址：

钓鱼者合约：

0x8beebade5b1131cf6957f2e8f8294016c276a90f

合约创建者：

0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee

创建合约时间：

Mar-24-2022 09:05:33 PM +UTC?

同时我们发现与这个攻击者相同的恶意合约代码有 9 个：??

随机看一个恶意合约 0xc9E...749，创建者地址为

0x6035B92fd5102b6113fE90247763e0ac22bfEF63：

相同的手法，都已经洗币。每个恶意合约上都已经有受害者的记录，此处不一一分析。

我们再来看下受害者时间：??

刚好是在攻击者创建恶意钓鱼之后，有用户上当受。

攻击者已将 NFT 售出，变卖为 ETH，我们使用 MistTrack 分析攻击者地址

0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee：

可以看到 51 ETH 已经转入 Tornado.Cash 洗币。同时，目前?Twitter 上攻击者的账户?@nftshifter_io?已经被冻结无法查看。

可以确认的是，攻击一直在发生，而且有成熟的产业链。截止到发文前黑客地址仍有新的 NFT 入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化，制作一个钓鱼模版就可以批量复制出大量不同 NFT 项目的钓鱼网站。当作恶成本变得非常低的时候，更需要普通用户提高警惕，加强安全意识，时刻保持怀疑，避免成为下一个受害者。

来源：慢雾科技

作者：山哥&耀，慢雾安全团队

标签：USDDAIDODNFTmusd币是什么时候发行的Compound DaiDODBNFTDAO

OKB热门资讯