NFT:慢雾：「0 元购」NFT 钓鱼网站分析

不要点击不明链接，也不要在不明站点批准任何签名请求。

据慢雾区情报，发现NFT钓鱼网站如下：

钓鱼网站1：https://c01.host/

钓鱼网站2：https://acade.link/

我们先来分析钓鱼网站1：

进入网站连接钱包后，立即弹出签名框，而当我尝试点击除签名外的按钮都没有响应，看来只有一张图片摆设。

我们先看看签名内容：

Maker：用户地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

慢雾：LendHub疑似被攻击损失近600万美金，1100枚ETH已转移到Tornado Cash:金色财经报道，据慢雾区情报，HECO生态跨链借贷平台LendHub疑似被攻击，主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后，将部分资金跨链到Heco链展开攻击后获利，后使用多个平台（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨链或兑换被盗资金。截至目前，黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析，慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查询后显示是OpenSeaV2合约地址。

慢雾：pGALA合约黑客已获利430万美元:11月4日消息，安全团队慢雾在推特上表示，pGALA合约黑客已将大部分GALA兑换成13,000枚BNB，获利超430万美元，该地址仍有450亿枚Gala，但不太可能兑现，因为资金池基本已耗尽。此外，黑客的初始资金来自几个币安账户。

今日早些时候消息，一个BNB Chain上地址在BNB Chain上地址凭空铸造了超10亿美元的pGALA代币，并通过在PancakeSwap上售出获利。pNetwork表示此为跨链桥配置错误所致，GALA跨链桥已暂停，请用户不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

大概能看出，这是用户签名NFT的销售订单，NFT是由用户持有的，一旦用户签名了此订单，子就可以直接通过OpenSea购买用户的NFT，但是购买的价格由子决定，也就是说子不花费任何资金就能「买」走用户的NFT。

慢雾：PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出，在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的，而这个地址，正是攻击者地址(0x187...65be)。由于合约未开源，无法查看更具体的逻辑，只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗，或者是其他原因，导致攻击者直接调用 mint 函数进行任意铸币。

此前报道，PAID Network今天0点左右遭到攻击，增发将近6000万枚PAID代币，按照当时的价格约为1.6亿美元，黑客从中获利2000ETH。[2021/3/6 18:21:08]

此外，签名本身是为攻击者存储的，不能通过Revoke.Cash或Etherscan等网站取消授权来废弃签名的有效性，但可以取消你之前的挂单授权，这样也能从根源上避免这种钓鱼风险。

查看源代码，发现这个钓鱼网站直接使用HTTrack工具克隆c-01nft.io站点。对比两个站点的代码，发现了钓鱼网站多了以下内容：

查看此JS文件，又发现了一个钓鱼站点?https://polarbears.in。

如出一辙，使用HTTrack复制了?https://polarbearsnft.com/，同样地，只有一张静态图片摆设。

跟随上图的链接，我们来到?https://thedoodles.site，又是一个使用HTTrack的钓鱼站点，看来我们走进了钓鱼窝。

对比代码，又发现了新的钓鱼站点?https://themta.site，不过目前已无法打开。

通过搜索，发现与钓鱼站点thedoodles.site相关的18个结果。同时，钓鱼网站2也在列表里，同一伙子互相Copy，广泛撒网。

再来分析钓鱼站点2：

同样，点击进去就直接弹出请求签名的窗口：

且授权内容与钓鱼站点1的一样：

Maker：用户地址

Exchange：OpenSeaV2合约

Taker：子合约地址

先分析子合约地址，可以看到这个合约地址已被MistTrack标记为高风险钓鱼地址。

接着，我们使用MistTrack分析该合约的创建者地址：

发现该钓鱼地址的初始资金来源于另一个被标记为钓鱼的地址，再往上追溯，资金则来自另外三个钓鱼地址。

总结

本文主要是说明了一种较为常见的NFT钓鱼方式，即子能够以0ETH购买你所有授权的NFT，同时我们顺藤摸瓜，扯出了一堆钓鱼网站。建议大家在尝试登录或购买之前，务必验证正在使用的NFT网站的URL。同时，不要点击不明链接，也不要在不明站点批准任何签名请求，定期检查是否有与异常合约交互并及时撤销授权。最后，做好隔离，资金不要放在同一个钱包里。

原文标题：《「零元购」NFT钓鱼分析》

撰文：Lisa

来源：ForesightNews

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。