BTC/HKD-0.31%
HK$ 494028
$ 62960

ETH/HKD-0.67%
HK$ 19944
$ 2541.75

LTC/HKD+0.14%
HK$ 510.66
$ 65.08

DOT/HKD+0.36%
HK$ 33.94
$ 4.326

ADA/HKD-0.67%
HK$ 2.76
$ 0.352

SOL/HKD-1.6%
HK$ 1142.5
$ 145.599

XRP/HKD+0.45%
HK$ 4.57
$ 0.583

DOGE/US-0.56%
HK$ 0.82
$ 0.105

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

NFT:慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_HTT

Author：

Time：1900/1/1 0:00:00

9 月 4 日，推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。

（https://twitter.com/PhantomXSec/status/1566219671057371136 ）

該推特用戶給出了 196 個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

（https://pastebin.com/UV 9 pJN 2 M）

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

（https://twitter.com/IM_ 23 pds/status/1566258373284093952 ）

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。

慢霧：pGALA合約黑客已獲利430萬美元:11月4日消息，安全團隊慢霧在推特上表示，pGALA合約黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。此外，黑客的初始資金來自幾個幣安賬戶。

今日早些時候消息，一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致，GALA跨鏈橋已暫停，請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

經過深入分析，發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站，這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到 7 個月前：

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的 API 接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”，其中參數 mmAddr 記錄訪客的錢包地址，accessTime 記錄訪客的訪問時間，url 記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

慢霧：Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報，2022年1月18日，bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示，此次攻擊是由于setTrustedForwarder函數未做權限限制，且在獲取調用者地址的函數_msg.sender()中，寫了一個特殊的判斷，導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]

特征二：釣魚網站會請求一個 NFT 項目價目表，通常 HTTP 的請求路徑為 “getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件 “imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”，此域名在 APT 活動早期主要用來記錄用戶數據：

慢霧：PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊解析：這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]

查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前，黑客組織已經開始實施對 NFT 用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息：

慢霧：BTFinance被黑，策略池需防范相關風險:據慢霧區情報，智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析，本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒，近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題，必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。