慢雾：Discord私信钓鱼手法分析

原文来源：慢雾安全团队

机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

机器人"(Captcha.bot)发来的链接后，是有让我进行人机验证的，但是当我验证通过后，发现它要求唤起我的小狐狸(MetaMask)钱包，唤起的钱包界面挺真实的，如下图所示，但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕，如果是插件唤起的就不会有这个"about:blank"的地址栏了。

接下来我随意输入了密码，并且通过审查元素查看，确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的，并不是真实的钱包界面，于是我开始调试这个钱包。

慢雾：Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取:12月25日消息，据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队分享如下：1. Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前，会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

在随意输入密码后，这个虚假的钱包界面进入到"SecurityCheck"界面，要求我输入助记词进行验证。注意，输入的密码和和助记词会被加密发送到恶意站点的服务端。

慢雾：Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害:据慢雾区情报反馈，Moonbirds 发布安全公告，Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖，而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架，如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

通过分析域名可以发现，这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一个举报了。

慢雾：DOD合约中的BUSD代币被非预期取出，主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报，2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下：

1. DOD 项目使用了一种特定的锁仓机制，当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁，若不满足以上条件，DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下，用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币，即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低，恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中，以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数，将持有的 DOD 代币转入 DOD 合约中，既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]

分析恶意账号

下载保存好恶意站点的源码后，我将情报发给了项目方团队，并开始分析这次钓鱼攻击的账号。由于我刚加入家人群，就收到了下面的这个地址发来的验证消息。经过分析，这个账号是一个伪装成Captcha.bot机器人的普通账号，当我加入到官方服务器后，这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接，从而引导我输入钱包密码和助记词。

我在相关频道里面搜索了Captcha.bot，发现有好几个假Captcha.bot，于是将这几个账号也一并同步给了项目方团队，项目方团队很给力，也很及时地进行了处理，把这几个假Captcha.bot删除了，并一起讨论了可能的防范方式。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证，然而不是采用假小狐狸(MetaMask)的界面来用户，而是直接在页面上引导用户输入助记词了，这个钓鱼手法就没这么真。

钓鱼网站的域名和?IP是app.importvalidator.org47.250.129.219，用的是阿里云的服务，同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷，用户要学会自己识别各种钓鱼手法避免被，项目方也要加强对用户安全意识的教育。

用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识，学会识别伪装MetaMask的攻击手法，网页唤起MetaMask请求进行签名的时候要识别签名的内容，如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。

项目方团队也要时刻关注社区用户的反馈，及时在社区Discord服务器中删除恶意账户，并在用户刚加入Discord服务器时进行防钓鱼的安全教育。

Discord隐私设置和安全配置参考链接：

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

标签：DODUSDBUSDRubicdodo币创始人usdp币盈利模式EarnBUS

SHIB最新价格热门资讯