HTT:“零元購” NFT 釣魚分析_tps幣圈

By：Lisa

據慢霧區情報，發現NFT?釣魚網站如下：

釣魚網站1：https://c01.host/

釣魚網站2：https://acade.link/

我們先來分析釣魚網站1：

進入網站連接錢包后，立即彈出簽名框，而當我嘗試點擊除簽名外的按鈕都沒有響應，看來只有一張圖片擺設。

我們先看看簽名內容：

Maker：用戶地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

安全公司：超過280個區塊鏈面臨“零日”漏洞的風險，至少價值250億美元:3月14日消息，據網絡安全公司Halborn表示，估計有280個或更多區塊鏈網絡面臨“零日”漏洞利用的風險，這些漏洞可能會使至少價值250億美元的加密貨幣面臨風險。

Halborn概述了三個漏洞，其中“最關鍵”的漏洞允許攻擊者“向各個節點發送精心設計的惡意共識消息，導致每個節點關閉”。它隨著時間的推移添加了這些消息，可能會使區塊鏈暴露于51%的攻擊中，攻擊者控制網絡的大部分挖礦哈希率或質押代幣以制作新版本的區塊鏈或使其離線。其他“零日漏洞”將允許潛在的攻擊者通過發送遠程過程調用 (RPC) 請求來破壞區塊鏈節點。[2023/3/14 13:03:06]

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查詢后顯示是OpenSeaV2合約地址。

Scam Sniffer：攻擊者正在測試Blur批量掛單漏洞，請用戶當心“零元購”釣魚風險:3月9日消息，反網絡釣魚解決方案Scam Sniffer發文提醒稱，其鏈上監控機器人在大約5小時前發現一筆可疑Blur交易，有攻擊者正在測試Blur批量掛單的漏洞。在這筆交易中，攻擊者自己嘗試了“網絡釣魚”，并成功將6枚NFT實現了轉移。

此前報道，慢霧生態安全合作伙伴Scam Sniffer演示了一個針對Blur NFT市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個“Root簽名”即可以極低成本（特指“零元購”）釣走目標用戶在Blur平臺授權的所有NFT，Blur平臺的這個“Root簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。[2023/3/9 12:51:56]

CityDAO Parcel 0 “零號地塊”空投申領窗口已向Citizen NFT持有者開放:5月18日消息，CityDAO宣布正式開始Parcel 0“零號地塊”空投，土地NFT申領窗口已向Citizen NFT持有者開放，截止日期為北京時間7月1日2:00。CityDAO于2021年10月29日購買了懷俄明州40英畝地塊，將地塊治理權鑄造為NFT并由公民NFT持有者分享，持有該NFT的用戶可以擁有對地塊財庫的治理權，但不擁有該土地的所有權。[2022/5/18 3:23:36]

大概能看出，這是欺騙用戶簽名NFT的銷售訂單，NFT是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過OpenSea購買用戶的NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能“買”走用戶的NFT。

金色財經現場報道 EosStore市場負責人羅斌：組建EOS社區的“零一二三”:金色財經現場報道，在EosStore競選超級節點暨“柚子資本發布會”上，EosStore市場負責人羅斌在演講中指出：“組建EOS社區將秉持“車庫咖啡的精神+投資孵化的功能+公平、開放的社區”的模式，做到‘零一二三’。零：社群的零門檻；一：一條主線，即‘一切以商業落地為核心’；二：投資和孵化的功能，投資者社區與開發者社區形成互動鏈接；三：組建三個職能環，投研團隊、資源匹配團隊、市場活動部門，我們會基于以上的幾點，提供力所能及的服務。”[2018/5/13]

此外，簽名本身是為攻擊者存儲的，不能通過Revoke.Cash或Etherscan等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

查看源代碼，發現這個釣魚網站直接使用HTTrack工具克隆c-01nft.io站點。對比兩個站點的代碼，發現了釣魚網站多了以下內容：

查看此JS文件，又發現了一個釣魚站點https://polarbears.in。

如出一轍，使用HTTrack復制了https://polarbearsnft.com/，同樣地，只有一張靜態圖片擺設。

跟隨上圖的鏈接，我們來到?https://thedoodles.site，又是一個使用?HTTrack的釣魚站點，看來我們走進了釣魚窩。

對比代碼，又發現了新的釣魚站點https://themta.site，不過目前已無法打開。

通過搜索，發現與釣魚站點thedoodles.site相關的18個結果。同時，釣魚網站2也在列表里，同一伙騙子互相Copy，廣泛撒網。

再來分析釣魚站點2，同樣，點擊進去就直接彈出請求簽名的窗口：

且授權內容與釣魚站點1的一樣：

Maker：用戶地址

Exchange：OpenSeaV2合約

Taker：騙子合約地址

先分析騙子合約地址，可以看到這個合約地址已被MistTrack標記為高風險釣魚地址。

接著，我們使用MistTrack分析該合約的創建者地址：

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址，再往上追溯，資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的NFT釣魚方式，即騙子能夠以0ETH購買你所有授權的NFT，同時我們順藤摸瓜，扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前，務必驗證正在使用的NFT網站的URL。同時，不要點擊不明鏈接，也不要在不明站點批準任何簽名請求，定期檢查是否有與異常合約交互并及時撤銷授權。最后，做好隔離，資金不要放在同一個錢包里。

Tags：NFTHTTTPSBLUNFTfihtt幣被騙tps幣圈BLUESPARROW

以太坊價格今日行情