SWAP:慢雾：NFT 项目 verb 钓鱼网站分析

据慢雾区情报，发现NFT项目verb钓鱼网站如下：

钓鱼网站1：https://mint-here.xyz/verblabs.html

钓鱼网站2：https://verb-mint.netlify.app

我们先来分析钓鱼网站1：

查看源代码，发现这个钓鱼网站直接使用HTTrack工具克隆

http://opensea-live.com/limited-sale/verblabsofficial/站点。

此被克隆的站点非常可疑，似乎也是钓鱼网站。

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

再来看下钓鱼网站2：

这三个站点仿佛都是一个模版生成出来的。

慢雾：过去一周Web3生态系统因安全事件损失近160万美元:6月26日消息，慢雾发推称，过去一周Web3生态系统因安全事件损失近160万美元，包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]

对照三个钓鱼网站分别揪出钓鱼地址：

钓鱼地址1：0xe7b2AAa70D6133c78006A078b95dF8Be3613385E

钓鱼地址2：0xa096356DeB502d1F5670A2E26a645eA4dbAA4741

钓鱼地址3：0x80eE5caDf0f04058b9dF853017542Ab3dF9D88d7

先分析钓鱼地址1(0xe7b…85E)：

慢雾：疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息，慢雾监测显示，疑似加密交易所Gemini相关地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在过去5小时内归集并转出逾20万枚ETH（超3亿美元）。[2022/7/19 2:22:08]

发现地址satrialingga.eth?转入过两笔ETH，分别是0.063和0.126。

随后在Twitter上找到了用户@satrialingga_，发现该用户在5月26日6:48PM发文称自己被了0.3枚ETH，并提醒大家在加入Discord时要关闭私信。显然是遭遇了私信钓鱼。

慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险:据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。[2022/5/10 3:03:22]

根据用户@satrialingga_的信息，我们加入@verb_labs的Discord，刚加入就有2个机器人发私信进行钓鱼。

子直接留了个钓鱼形象的NFT图片，生怕别人认不出来这是钓鱼网站么？

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

接着，我们使用MistTrack分析钓鱼地址1：

发现盗来的钱基本被立马转走。

查看交易数较大的这个地址：

0x7068626254842b0e836a257e034659fd1f211480：

该地址初始资金来自TornadoCash转入的两笔1ETH，总共收到约37ETH，并通过189笔转出洗币，有从Binance提币和入金的交易记录。

接着，我们来分析钓鱼网站2。

发现地址2将盗来的大部分ETH都被换成USDT，并转到地址0xf44c65d285d6282c36b85e6265f68a2876bf0d39，目前未转移。

来看看最后一个钓鱼网站3：

经MistTrack分析，地址3共收到约5.5ETH，入金交易有53笔，看来被的人挺多。

继续追踪，发现大部分ETH转入Binance地址

0x2ae27a28ffa6b08d4568133632268d1335e26996：

此地址在MistTrack的风险等级为高风险，共收到约76ETH。

以上就是本次关于Verb钓鱼网站的全部分析内容。

总结

本文主要是说明了由两个小钓鱼网站分析出一个大钓鱼网站的事件。NFT钓鱼网站层出不穷，制作成本非常低，已经形成流程化专业化的产业链，这些子通常直接使用一些工具去copy比较出名的NFT项目网站，诱用户输入私钥助记词或者是诱导用户去授权。建议大家在尝试登录或购买之前，务必验证正在使用的NFT网站的URL。同时，不要点击不明链接，尽量通过官方网页或者官方的媒体平台去加入Discord等，这也能避免一些钓鱼。

By：耀&Lisa

标签：SWAPETHVERVSWDryCakeSwapMETH币BABYEVERDOGE币VSW币

以太坊热门资讯