慢雾：朝鲜APT组织对NFT用户大规模钓鱼事件分析

背景

9月4日，推特用户PhantomX发推称朝鲜APT组织针对数十个ETH和SOL项目进行大规模的网络钓鱼活动。

该推特用户给出了196个钓鱼域名信息，分析后关联到朝鲜黑客相关信息，具体的域名列表如下：

慢雾安全团队注意到该事件并第一时间跟进深入分析：

由于朝鲜黑客针对加密货币行业的攻击模型多样化，我们披露的也只是冰山一角，因为一些保密的要求，本篇文章也仅针对其中一部分钓鱼素材包括相关钓鱼钱包地址进行分析。这里将重点针对NFT钓鱼进行分析。

钓鱼网站分析

经过深入分析，发现此次钓鱼的其中一种方式是发布虚假NFT相关的、带有恶意Mint的诱饵网站，这些NFT在OpenSea、X2Y2和Rarible等平台上都有出售。此次APT组织针对Crypto和NFT用户的钓鱼涉及将近500多个域名。

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

查询这些域名的注册相关信息，发现注册日期最早可追溯到7个月前：

同时我们也发现朝鲜黑客常使用的一些独有的钓鱼特征：

特征一：钓鱼网站都会记录访客数据并保存到外部站点。黑客通过HTTPGET请求将站点访问者信息记录到外部域，发送请求的域名虽不同但是请求的API?接口都为“/postAddr.php”。一般格式为“https://nserva.live/postAddr.php??mmAddr=......&accessTime=xxx&url=evil.site”，其中参数mmAddr记录访客的钱包地址，accessTime记录访客的访问时间，url记录访客当前所访问的钓鱼网站链接。

特征二：钓鱼网站会请求一个NFT项目价目表，通常HTTP的请求路径为“getPriceData.php”：

慢雾：Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

慢雾：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息，2022年01月18日，一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

特征三：存在一个链接图像到目标项目的文件“imgSrc.js”，包含目标站点列表和在其相应网络钓鱼站点上使用的图像文件的托管位置，这个文件可能是钓鱼网站模板的一部分。

进一步分析发现APT用于监控用户请求的主要域名为“thedoodles.site”，此域名在APT活动早期主要用来记录用户数据：

查询该域名的HTTPS证书启用时间是在7个月之前，黑客组织已经开始实施对NFT用户对攻击。

慢雾：PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击，慢雾安全团队解析：这是一次典型的利用闪电贷操作价格的攻击，其关键点在于WBNB-BUNNYLP的价格计算存在缺陷，而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式，最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格，使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议，在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

最后来看下黑客到底运行和部署了多少个钓鱼站点：

比如最新的站点伪装成世界杯主题：

继续根据相关的HTTPS证书搜索得到相关的网站主机信息：

在一些主机地址中发现了黑客使用的各种攻击脚本和统计受害者信息的txt文件。

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

这些文件记录了受害者访问记录、授权情况、使用插件钱包的情况：

可以发现这些信息跟钓鱼站点采集的访客数据相吻合。

其中还包括受害者approve记录：

以及签名数据sigData等，由于比较敏感此处不进行展示。

另外，统计发现主机相同IP下NFT钓鱼站群，单独一个IP下就有372个NFT钓鱼站点：

另一个IP下也有320个NFT钓鱼站群：

甚至包括朝鲜黑客在经营的一个DeFi平台：

由于篇幅有限，此处不再赘述。

钓鱼手法分析

结合之前文章，我们对此次钓鱼事件的核心代码进行了分析。我们发现黑客钓鱼涉及到WETH、USDC、DAI、UNI等多个地址协议。

下面代码用于诱导受害者进行授权NFT、ERC?20等较常见的钓鱼Approve操作：

除此之外，黑客还会诱导受害者进行Seaport、Permit等签名。

下面是这种签名的正常样例，只是在钓鱼网站中不是“opensea.io”这个域名。

我们在黑客留下的主机也发现了这些留存的签名数据和“Seaport”的签名数据特征一致。

由于这类型的签名请求数据可以“离线存储”，黑客在拿到大量的受害者签名数据后批量化的上链转移资产。

MistTrack分析

对钓鱼网站及手法分析后，我们选取其中一个钓鱼地址进行分析。

可以看到这个地址已被MistTrack标记为高风险钓鱼地址，交易数也还挺多。钓鱼者共收到1055个NFT，售出后获利近300ETH。

往上溯源，该地址的初始资金来源于地址转入的4.97ETH。往下溯源，则发现该地址有与其他被MistTrack标记为风险的地址有交互，以及有5.7ETH转入了FixedFloat。

再来分析下初始资金来源地址，目前收到约6.5ETH。初始资金来源于Binance转入的1.433ETH。

同时，该地址也是与多个风险地址进行交互。

总结

由于保密性和隐私性，本文仅针对其中一部分?NFT?钓鱼素材进行分析，并提炼出朝鲜黑客的部分钓鱼特征，当然，这只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。

Ps.感谢hip、ScamSniffer提供的支持。

相关链接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136?

https://twitter.com/evilcos/status/1603969894965317632?

标签：NFTETHUSDBTCWNFTLSETH泰达币usdt能升值吗btcv币行情

非小号热门资讯