NFT:“零元購” NFT 釣魚分析_ACK

By：Lisa

據慢霧區情報，發現 NFT?釣魚網站如下：

釣魚網站 1：https://c01.host/

釣魚網站 2：https://acade.link/

我們先來分析釣魚網站 1：

進入網站連接錢包后，立即彈出簽名框，而當我嘗試點擊除簽名外的按鈕都沒有響應，看來只有一張圖片擺設。

我們先看看簽名內容：

Maker：用戶地址

Taker：0xde6135b63decc47d5a5d47834a7dd241fe61945a

Exchange：0x7f268357A8c2552623316e2562D90e642bB538E5，查詢后顯示是 OpenSea V2 合約地址。

微比特礦池將推出“零費率”BTC挖礦:據官方消息，微比特（ViaBTC）礦池于2020年7月1日-10月31日推出為期4個月的“零費率”BTC挖礦，凡≥300p的微比特中國用戶，只均可參與。據悉，再結合使用微比特礦池推出的“智能挖礦”產品，能夠有效避免幣價波動造成的收益風險。[2020/7/1]

大概能看出，這是欺騙用戶簽名 NFT 的銷售訂單，NFT 是由用戶持有的，一旦用戶簽名了此訂單，騙子就可以直接通過 OpenSea 購買用戶的 NFT，但是購買的價格由騙子決定，也就是說騙子不花費任何資金就能“買”走用戶的 NFT。

此外，簽名本身是為攻擊者存儲的，不能通過 Revoke.Cash 或 Etherscan 等網站取消授權來廢棄簽名的有效性，但可以取消你之前的掛單授權，這樣也能從根源上避免這種釣魚風險。

華為云混合云領域總裁：“零”等待同步區塊鏈等10大類70+云服務:今日，華為云發布政企戰略，并宣布華為云Stack系列新品正式上市。華為云混合云領域總裁呂陽明介紹，基于統一的華為云擎天架構，華為云Stack與華為云保持統一的API，可以在本地數據中心為客戶提供與華為云一致的云服務使用體驗，“零”等待同步AI、大數據、IoT、區塊鏈等10大類70+云服務，共享華為云創新能力。[2020/5/15]

查看源代碼，發現這個釣魚網站直接使用 HTTrack 工具克隆 c-01nft.io 站點（真實網站）。對比兩個站點的代碼，發現了釣魚網站多了以下內容：

湖州電力物資供應簽約結算通過區塊鏈技術實現“零”跑辦:4月27日，湖州飛劍桿塔制造有限公司業務代表沈利平收到國網湖州供電公司發來的電子合同簽署任務短信提醒——“請登陸‘電e簽’平臺，審核并簽署‘2020年度鐵附件框架協議’，簽訂有效期為3個工作日”。沈利平隨即登錄“電e簽”統一簽署平臺，從收件箱中找到相應合同并復核無誤后，點擊“簽署”鍵，原本需要至少半天時間的合同簽署工作只花了短短5分鐘就完成了。如此高效的簽約工作得益于國網湖州供電公司對基于區塊鏈技術的電子合同簽署平臺的成功應用。[2020/5/1]

查看此 JS 文件，又發現了一個釣魚站點 https://polarbears.in。

如出一轍，使用 HTTrack 復制了 https://polarbearsnft.com/（真實站點），同樣地，只有一張靜態圖片擺設。

金色財經現場報道 EosStore市場負責人羅斌：組建EOS社區的“零一二三”:金色財經現場報道，在EosStore競選超級節點暨“柚子資本發布會”上，EosStore市場負責人羅斌在演講中指出：“組建EOS社區將秉持“車庫咖啡的精神+投資孵化的功能+公平、開放的社區”的模式，做到‘零一二三’。零：社群的零門檻；一：一條主線，即‘一切以商業落地為核心’；二：投資和孵化的功能，投資者社區與開發者社區形成互動鏈接；三：組建三個職能環，投研團隊、資源匹配團隊、市場活動部門，我們會基于以上的幾點，提供力所能及的服務。”[2018/5/13]

跟隨上圖的鏈接，我們來到?https://thedoodles.site，又是一個使用?HTTrack 的釣魚站點，看來我們走進了釣魚窩。

對比代碼，又發現了新的釣魚站點 https://themta.site，不過目前已無法打開。

通過搜索，發現與釣魚站點 thedoodles.site 相關的 18 個結果。同時，釣魚網站2（https://acade.link/）也在列表里，同一伙騙子互相 Copy，廣泛撒網。

再來分析釣魚站點 2，同樣，點擊進去就直接彈出請求簽名的窗口：

且授權內容與釣魚站點 1 的一樣：

Maker：用戶地址

Exchange：OpenSea V2 合約

Taker：騙子合約地址

先分析騙子合約地址（0xde6...45a），可以看到這個合約地址已被 MistTrack 標記為高風險釣魚地址。

接著，我們使用 MistTrack 分析該合約的創建者地址（0x542...b56）：

發現該釣魚地址的初始資金來源于另一個被標記為釣魚的地址（0x071...48E），再往上追溯，資金則來自另外三個釣魚地址。

總結

本文主要是說明了一種較為常見的 NFT 釣魚方式，即騙子能夠以 0 ETH（或任何代幣）購買你所有授權的 NFT，同時我們順藤摸瓜，扯出了一堆釣魚網站。建議大家在嘗試登錄或購買之前，務必驗證正在使用的 NFT 網站的 URL。同時，不要點擊不明鏈接，也不要在不明站點批準任何簽名請求，定期檢查是否有與異常合約交互并及時撤銷授權。最后，做好隔離，資金不要放在同一個錢包里。

慢霧科技

個人專欄

閱讀更多

金色早8點

Bress

財經法學

PANews

成都鏈安

鏈捕手

Odaily星球日報

Tags：NFTHTTTPSACKNFTSHIBAhtt幣價格今日行情https://etherscan.ioBLACKHOLE價格

聚幣