HTT:當硬核黑客開始研究“釣魚” 你的NFT還安全嗎？

前有周杰倫無聊猿NFT被釣魚攻擊，損失超300萬人民幣。

后有全球最大的NFT交易平臺之一OpenSea大批用戶遭遇釣魚攻擊，多人資產受損。

可見Web3世界黑客依然猖狂作祟，為了打擊黑客囂張的氣焰，我們將為大家持續輸出干貨系列文章，教導大家NFT防騙技巧。

本文研究了兩類典型的NFT的釣魚攻擊，一類是盜取用戶簽名的釣魚攻擊，如：Opensea釣魚郵件事件；一類是高仿域名和內容的NFT釣魚網站。跟我們一起看看

「盜取用戶簽名的釣魚」

2022年2月21日，全球最大的加密數字藏品市場Opensea遭遇黑客攻擊。根據Opensea官方回復，有部分用戶由于簽署了給黑客的授權而導致用戶NFT被盜。

我們將本次事件再次復現一下，在本次事件攻擊事件中，攻擊者信息如下：

攻擊者地址：

0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻擊者合約：

0xa2c0946ad444dccf990394c5cbe019a858a945bd

紐約梅隆銀行聘請Zodia Custody前CEO擔任數字資產產品負責人:金色財經報道，紐約梅隆銀行（BNY Mellon）聘請 Zodia Custody 前首席執行官 Maxime de Guillebon 擔任數字資產產品負責人，并任命 BlockFi 前員工 Rachel Willis 為數字資產部門參謀長（Chief of Staff）。[2023/4/19 14:11:58]

攻擊者獲得相關NFT的交易具體如下圖所示：

針對其中一筆交易進行分析，

0xee038a31ab6e3f06bd747ab9dd0c3abafa48a51e969bcb666ecd3f22ff989589，具體內容如下：

由上圖可知，攻擊者是獲得了用戶的授權，之后直接調用transferfrom方法將用戶的NFT盜走。

根據Opensea的CEODevinFinzer發布的twitter，攻擊者是通過釣魚的方式獲取到用戶在Opensea上的掛單授權。

英國政府尋求利用中東資金收購硅谷銀行英國子公司:金色財經報道，據英國金融時報報道，英國政府正試圖推動對硅谷銀英國子公司的收購，以防止沖擊蔓延至整個科技行業。一家財力雄厚的中東買家已經表示了興趣。英國科技公司高管一直在游說政府，以減輕如果他們周一無法使用在這家銀行的賬戶所造成的損失。法律上，硅谷銀行英國子公司獨立于總部位于加州的母公司，后者于同一天被美國監管機構關閉。這意味著，可能會有兩個不同的買家分別收購美國和英國的銀行部門，盡管潛在競購者可能希望同時收購這兩個銀行部門。幾位熟悉英國競購過程的人士表示，一家中東買家是主要競購方之一。一位知情人士稱，截至昨晚，這家“領頭白衣騎士”是一家總部位于阿聯酋的公司。羅斯柴爾德正在牽頭為這家英國實體尋找潛在買家，羅斯柴爾德拒絕置評。知情人士稱，當英國央行周五宣布硅谷銀行英國子公司資不抵債時，該公司擁有近70億英鎊存款。[2023/3/12 12:58:48]

通過分析攻擊交易，黑客攻擊主要分為以下三個步驟。

1.構造正確的待簽名交易；

2.誘騙用戶點擊授權；

3.獲取用戶簽名后構造攻擊合約盜取用戶NFT。

步驟一?

首先對攻擊者構建的交易簽名內容進行分析，跟蹤函數調用棧發現具體的簽名信息如下：

俄羅斯經濟學家：無論央行采取什么行動，加密貨幣都不會被完全消滅:金色財經報道，俄羅斯著名的經濟學家Nikita Maslennikov認為，中央銀行最終將決定加密貨幣的命運，即使他們目前沒有“優先考慮”對該行業的監管。加密貨幣監管已成為許多國家的問題。然而，中央銀行不認為加密貨幣監管是他們的主要任務之一。俄羅斯和中國都對加密貨幣采取了“更強硬的立場”。中國已禁止大多數與加密相關的活動，包括采礦和交易加密貨幣。俄羅斯中央銀行也提議全面禁止，盡管其他政府機構采取了更先進的方法。而美國迄今為止采取了更溫和的監管方式。盡管如此，加密貨幣的未來仍與中央銀行對市場的監管有關。

Maslennikov聲稱，無論央行行長采取什么行動，加密貨幣都不會被完全消滅。他表示，人們對“風險和投機”的胃口將確保加密貨幣以某種形式存在。[2023/2/21 12:19:42]

由上圖可知，簽名的計算方式為：keccak256("\x19EthereumSignedMessage:\n32",hashOrder(order))；這種簽名方式會在order前再加一個消息前綴：’\x19EthereumSignedMessage:\n32’，以確保改簽名不能在以太坊之外使用。之后將加上消息前綴的完整數據再計算keccak256值，最后用私鑰進行簽名。

但是該方式僅能聲明所有權，無法防止重放攻擊。如：用戶A簽署了消息發送給合約M，另一用戶B可以將這個簽名重放給合約N。下圖為訂單簽名中具體涉及到的信息。

Nouns DAO意外取消對ZachXBT的12.3萬美元捐贈:金色財經報道，在鏈上提議被取消后，Nouns DAO 向 ZachXBT 捐贈 100 ETH（123,000 美元）的計劃被意外取消。目前并不清楚負責取消這比捐款的人的身份。而負責取消已經敲定提案的錢包地址歷史上只有三筆交易。

Nouns DAO 現在必須再一次通過投票并重復該過程。House of Nouns 周四發推文說，假設投票像以前一樣通過，一旦投票結束，資金將在大約一周內交付。根據DAO 投票頁面上的詳細信息，新投票將于 12 月 10 日開始。聯合創始人 Hong Kim 還提交了提案，并承認了導致提案第一次被取消的錯誤。如果這次一切按計劃進行，DAO 會將資金從其 3500 萬美元的金庫轉移到標記為 zachxbt.eth 的地址。[2022/12/9 21:32:39]

其中涉及到的簽名主要參數為：

Side：買入或賣出

paymentToken：用于支付訂單的代幣類型

basePrice：訂單中NFT的價格

maker：訂單發出地址

taker：接收訂單的目標地址

上述簽名信息中包含訂單金額、目標地址等敏感信息，但是經過keccak256計算Hash后的值只是一串二進制字符串，用戶無法識別。

摩根士丹利CEO：未來經濟衰退的可能性為50%，不太可能陷入深度或長期衰退:金色財經消息，摩根士丹利首席執行官James Gorman周一在紐約的金融會議上表示，隨著美聯儲與通脹作斗爭，經濟衰退的可能性為50%，這高于他早些時候30%的預估，我們現階段不太可能陷入深度或長期衰退，我不認為未來幾年我們會陷入巨大的困境，我認為美聯儲最終會控制住通脹。你知道這會很坎坷；人們的401(k)計劃今年將會減少。

James Gorman認為，盡管市場一直在崩盤，但包括消費者和企業資產負債表在內的經濟基本面狀況比市場所暗示的要好。不過Gorman表示，美聯儲加息等待的時間太長，如果經濟衰退開始，美聯儲的回旋余地就會變小。[2022/6/14 4:24:01]

攻擊者根據上述Order信息構造簽名，可以隨意將上述簽名中涉及到的basePrice參數金額設置為0，接收地址設置為自己等。

步驟二?

攻擊者構造好待簽名數據后就可以誘騙用戶點擊授權。由于簽名的元數據是經過Keccak256計算后得到的包含0x的66個十六進制字符，用戶無法得知其代表的具體含義，因此可能直接點擊簽名，使得攻擊者獲得了用戶的掛單授權。

上圖中的簽名對于用戶來說類似盲簽，即所簽的消息內容對簽名人來說是盲的，簽名人不能看見消息的具體內容。

步驟三?

在步驟二中攻擊者獲取到ECDSA簽名消息中的R、S、V值，即可利用其構造攻擊合約盜取用戶NFT。下圖為OpenSea:WyvernExchangev1合約中驗證order的函數validateOrder()，具體源碼如下：

由源碼可知，訂單驗證首先會校驗order的有效性和是否包含有效參數，接著校驗訂單是否曾經通過鏈上校驗。其中approvedOrders是一個mapping變量，該變量保存了所有已經通過鏈上批準驗證的訂單。如果訂單曾經校驗過則直接返回true，無需再使用ecrecover()校驗ECDSA簽名，以便智能合約可以直接下訂單。

以下是其中一筆NFT盜取交易，可以發現攻擊者利用用戶簽名通過調用攻擊者合約：

0xa2c0946ad444dccf990394c5cbe019a858a945bd，以0ether的價格盜取了用戶的NFT。

「高仿域名的NFT釣魚」

這一類的釣魚網站主要是對NFT項目官網的域名和內容等進行幾乎一致的模仿，一般會先連接用戶錢包查詢用戶余額之后，再進行其他誘騙操作。這種釣魚網站是最常見的，主要分為以下幾種類型：

1僅更換原官網的頂級域名

案例一

官網：https://invisiblefriends.io/

釣魚網站：https://invisiblefriends.ch/

查看釣魚網站的網頁源碼，可以發現如下攻擊地址：

查看

0xEcAcDb9FA4Ed4ACD8977821737da7bCe688be1e0的相關交易：

可以發現上述兩筆交易是攻擊者獲取到的收益。

案例二

官網：https://cyberbrokers.io/

釣魚網站：https://cyberbrokers.live/

查看釣魚網站源碼，發現如下攻擊地址：

綜上，該類事件主要是因為用戶在簽署交易簽名時，由于簽署的交易內容是加密后的字符串，導致用戶無法直觀的看到簽署交易的具體內容，習慣性的點擊確認，從而造成攻擊者獲取到用戶的賣單權授權，盜走用戶的NFT。

2主域名添加單詞或符號進行混淆

有的釣魚網站會在主域名添加單詞或符號進行混淆，比如othersidemeta-airdrop、otherside-refunds.xyz等。

官網：https://otherside.xyz/

釣魚網站：http://othersidemeta-airdrop.com/

查看釣魚網站源碼，發現頁面存在setApprovalForAll()函數，該函數會授權_operator具有所有代幣的控制權。如果用戶授權了攻擊者，則用戶賬號中所有的NFT將會被盜走。

3添加二級域名進行混淆

有的釣魚網站會添加二級域名進行混淆，進行釣魚欺騙。

?

官網：https://www.okaybears.com/

釣魚網站：https://okaybears.co.uk/?

查看網頁源碼，根據solanaweb3的官方文檔API，確認如下地址為攻擊地址：

在如今釣魚事件頻發的情況下，用戶需提高安全意識，保護自己。以下是我們的安全建議：

1簽名時應當明確簽署的交易內容，包括交易價格、交易地址等信息，如下圖紅框處內容所示：

如果存在簽署內容僅為二進制字符串內容等無法明確的內容，請勿簽署。

2切勿點擊任何郵件中的鏈接、附件，或輸入任何個人信息。

3訪問NFT官網時，一般在官網右上角等處會顯示官方twitter、discord等社交帳號，需在官方賬號上確認官網地址。

4安裝釣魚插件，可輔助識別部分釣魚網站。比如下面這一款

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

Tags：NFT加密貨幣ORDHTTKNFT幣加密貨幣市場規模排名加密的pdf怎么轉換成word文檔不知道密碼htt幣騙局

SOL