okx

慢雾追溯分析29枚Moonbirds NFT盗窃事件

时间:2023-06-19|浏览:195

事件背景: 5月25日,推特用户@0xLosingMoney称监测到ID为@Dvincent_的用户通过钓鱼网站p2peers.io盗走了29枚Moonbirds系列NFT,价值超70万美元,钓鱼网站目前已无法访问。该用户表示,域名sarek.fi和p2peers.io都曾在过去的黑客事件中被使用。(https://twitter.com/0xLosingMoney/status/1529401916849291264)

搜集相关信息: 慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。

我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时,发现@Dvincent_就是黑客的Twitter账号,目前该账户已经被注销。而根据5月10日的记录,推特用户@just1n_eth(BAYC系列NFT持有者)就表示@Dvincent_曾与其联系交易BAYCNFT,但由于对方坚持使用p2peers.io,交易最后并未达成。(https://twitter.com/just1n_eth/status/1523896505446191104)

在该推特评论下用户@jbe61表示自己曾遇到同一个人并给出了对话截图。

5月25日晚,@0xLosingMoney继续在Twitter公布了黑客的钱包等相关信息。(https://twitter.com/0xLosingMoney/status/1529401927590907904)

下面是@0xLosingMoney给出的黑客地址: ➼0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D ➼0x8e73fe4d5839c60847066b67ea657a67f42a0adf ➼0x6035B92fd5102b6113fE90247763e0ac22bfEF63 ➼0xBf41EFdD1b815556c2416DcF427f2e896142aa53 ➼0x29C80c2690F91A47803445c5922e76597D1DD2B6

相关地址分析: 由于整个被盗事件都提到“p2peers.io”这个钓鱼网站,所以我们从此处开始入手。这个在芬兰某域名公司注册的p2peers网站已被暂停使用,我们最终在谷歌网页快照中寻找到了该网站首页的信息。

根据网页快照可以发现https://p2peers.io/的前端代码,其中主要的JS代码是“js/app.eb17746b.js”。

由于已经无法直接查看JS代码,利用Cachedview网站的快照历史记录查到在2022年4月30日主要的JS源代码。通过对JS的整理,我们查到了代码中涉及到的钓鱼网站信息和交易地址。

热点:NFT

« 上一条| 下一条 »
区块链交流群
数藏交流群

合作伙伴

在区块链世界中,智能合约不仅是代码的信任,更是商业的革命。通过了解其在供应链、版权保护等领域的应用,您将真正体验到智能合约的无限可能性
区块链世界GxPiKaQiu.com ©2020-2024版权所有 桂ICP备16002597号-2