PID:慢雾：29枚Moonbirds NFT被盗事件溯源分析

原文作者：山哥&耀@慢雾安全团队

NFT，价值超70万美元，钓鱼网站目前已无法访问。该用户表示，域名sarek.fi和p2peers.io都曾在过去的黑客事件中被使用。

搜集相关信息

慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。

我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时，发现@Dvincent_?就是黑客的Twitter账号，目前该账户已经被注销。而根据5月10日的记录，推特用户?@just1n_eth就表示?@Dvincent_?曾与其联系交易BAYCNFT，但由于对方坚持使用p2peers.io，交易最后并未达成。

5月25日晚，@0xLosingMoney?继续在Twitter公布了黑客的钱包等相关信息。

下面是?@0xLosingMoney?给出的黑客地址：

?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D

?0x8e73fe4d5839c60847066b67ea657a67f42a0adf

?0x6035B92fd5102b6113fE90247763e0ac22bfEF63

慢雾：Distrust发现严重漏洞，影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道，据慢雾区消息，Distrust 发现了一个严重的漏洞，影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。

漏洞详情：该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器（PRNG）实现。该实现使用了 Mersenne Twister 算法，并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。

影响范围：该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户，以及使用 libbitcoin-system 3.6 开发库的应用。

已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至 2023 年 8 月，已有超过 $900,000 美元的加密货币资产被盗。

解决方案：我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]

?0xBf41EFdD1b815556c2416DcF427f2e896142aa53

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

?0x29C80c2690F91A47803445c5922e76597D1DD2B6

根据网页快照可以发现https://p2peers.io/的前端代码，其中主要的JS代码是“js/app.eb17746b.js”。

由于已经无法直接查看JS代码，利用?Cachedview?网站的快照历史记录查到在2022年4月30日主要的JS源代码。

通过对JS的整理，我们查到了代码中涉及到的钓鱼网站信息和交易地址。

在代码912行发现approve地址：

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

慢雾：AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报，近期 AToken 钱包(atoken.com)疑似遭受到攻击，用户在使用 AToken 钱包后，币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了，但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作：

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案，对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包，用于后续可能需要的取证等操作。

5. 如果资产已经被盗，可以先梳理被盗事件的时间线，以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]

在代码3407行同样发现关于approve相关操作的地址：

慢雾：有用户遭钓鱼攻击，在OpenSea上架的NFT以极低匹配价格售出:据慢雾消息，有用户在 OpenSea 挂单售卖的 NFT 被恶意的以远低于挂单价匹配买。经慢雾安全团队分析，此是由于该受害用户遭受钓鱼攻击，错误的对攻击者精心构造的恶意订单进行签名，恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售 NFT 为受害用户在 OpenSea 上架的待出售 NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在 OpenSea 中进行匹配，并以攻击者指定的极低价格成交，导致受害用户的 NFT 以非预期的价格售出。[2021/12/11 7:31:47]

0xc9E39Ad832cea1677426e5fA8966416337F88749

我们开始分析这两个地址的交易记录：

0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A

0xc9E39Ad832cea1677426e5fA8966416337F88749

首先在Etherscan查询发现0x7F7...b6A?是一个恶意合约地址：

而这个恶意合约的创建者是地址：

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

0xd975f8c82932f55c7cef51eb4247f2bea9604aa3，发现这个地址有多笔NFT交易记录：

我们在NFTGO网站进一步查看，根据该地址目前NFT持有情况，发现被盗NFT目前都停留在此地址上还没有售出，总价值约为225,475美元。

而使用NFTSCAN发现NFT数量一共是21个，价值96.5枚ETH。

继续使用MistTrack分析攻击者地址交易历史：

可以发现该地址的ETH交易次数并不多只有12次，余额只有0.0615枚ETH。

0xc9E39Ad832cea1677426e5fA8966416337F88749也是合约地址，合约创建者是0x6035B92fd5102b6113fE90247763e0ac22bfEF63，这个地址在@0xLosingMoney公布的黑客地址名单中也有提到。

使用MistTrack发现这个地址余额同样不多，入账有21笔而出账有97笔，其中已转出共106.2枚ETH。

查看入账和出账信息，可以发现多笔转到Tornado.Cash，说明黑客已经通过各种手法将盗来的币进行来转移。

其中2053端口是API地址，而2083端口则是后台登录地址。

通过查询发现usemoralis.com这个域名上有大量NFT相关网站，其中不少是属于钓鱼网站。

通过谷歌搜索发现不少NFT的站点，并发现多个子域信息。

于是我们遍历和查询usemoralis.com的子域名，发现共存在3千多个相关子域站点部署在cloudflare上。

进一步了解我们发现这些站点都是来自moralis提供的服务：

moralis是一个专门提供针对Web3开发和构建DApps的服务。

我们发现注册后就可以得到接口地址和一个管理后台，这使得制作钓鱼网站作恶成本变得非常低。

经过统计，域名为pidhnone.se的接口有：

https://pidhnone.se/api/store/log

https://pidhnone.se/api/self-spoof/

https://pidhnone.se/api/address/

https://pidhnone.se/api/crypto/

进一步分析发现https://pidhnone.se/login其实是黑客操作的控制后台，用来管理资产等信息。

根据后台地址的接口拼接上地址，可以看到攻击地址和受害者的地址。

后台还存留关于图片信息和相关接口操作说明文字，可以看出来是非常明显的网站操作说明。

我们分析后台里面涉及的信息，如图片：

https://pidhnone.se/images/recent.png?f53959585e0db1e6e1e3bc66798bf4f8

https://pidhnone.se/images/2.gif?427f1b04b02f4e7869b1f402fcee11f6

https://pidhnone.se/images/gif.gif?24229b243c99d37cf83c2b4cdb4f6042

https://pidhnone.se/images/landing.png?0732db576131facc35ac81fa15db7a30

https://pidhnone.se/images/ss-create.png?1ad1444586c2c3bb7d233fbe7fc81d7d

https://pidhnone.se/images/self-spoof.png?25e4255ee21ea903c40d1159ba519234

这里面涉及黑客历史使用过的的钓鱼网站信息，如nftshifter.io：

以nftshifter.io这个钓鱼网站为例：

在Twitter上查找相关记录可以看到2022年3月25日有受害者访问过该钓鱼网站并公布出来。

使用相同的方式分析?nftshifter.io：

得到JS?源代码并进行分析：

可以发现同样也是采用moralis的服务和https://pidhnone.se/这个后台进行控制。

其中相关的恶意地址：

钓鱼者合约：

0x8beebade5b1131cf6957f2e8f8294016c276a90f

合约创建者：

0x9d194CBca8d957c3FA4C7bb2B12Ff83Fca6398ee

创建合约时间：

Mar-24-202209:05:33PMUTC?

同时我们发现与这个攻击者相同的恶意合约代码有9个：

随机看一个恶意合约0xc9E...749，创建者地址为

0x6035B92fd5102b6113fE90247763e0ac22bfEF63：

相同的手法，都已经洗币。每个恶意合约上都已经有受害者的记录，此处不一一分析。

我们再来看下受害者时间：

刚好是在攻击者创建恶意钓鱼之后，有用户上当受。

攻击者已将NFT售出，变卖为ETH，我们使用MistTrack分析攻击者地址

0x9d194cbca8d957c3fa4c7bb2b12ff83fca6398ee：

可以看到51ETH已经转入Tornado.Cash洗币。同时，目前Twitter上攻击者的账户@nftshifter_io已经被冻结无法查看。

产业链。截止到发文前黑客地址仍有新的NFT入账和交易进行。黑客进行钓鱼攻击往往已成规模化批量化，制作一个钓鱼模版就可以批量复制出大量不同NFT项目的钓鱼网站。当作恶成本变得非常低的时候，更需要普通用户提高警惕，加强安全意识，时刻保持怀疑，避免成为下一个受害者。

如何避免陷入欺诈的境地？慢雾安全团队建议如下：

1.不要点击来源不明的链接或附件，不要随意泄露您的助记词

2.使用强密码并启用双重身份验证以保护您的帐户。

3.不确定的情况下，向多方进行验证确认。

4.不要在网上传输敏感信息，攻击者可以通过分析这些信息和数据向用户发送有针对性的网络钓鱼电子邮件。

5.建议阅读：《区块链黑暗森林自救手册》

标签：NFTONEPIDHTTnft币最新消息及前景One Hundred Million InuSPIDER币htt币价格

芝麻开门交易所下载热门资讯