慢雾追溯分析29枚Moonbirds NFT盗窃事件

搜集相关信息： 慢雾安全团队收到相关情报并针对此次被盗事件进行朔源分析。

我们开始在Twitter上搜集并分析此钓鱼事件的相关信息时，发现@Dvincent_就是黑客的Twitter账号，目前该账户已经被注销。而根据5月10日的记录，推特用户@just1n_eth（BAYC系列NFT持有者）就表示@Dvincent_曾与其联系交易BAYCNFT，但由于对方坚持使用p2peers.io，交易最后并未达成。（https://twitter.com/just1n_eth/status/1523896505446191104）

在该推特评论下用户@jbe61表示自己曾遇到同一个人并给出了对话截图。

5月25日晚，@0xLosingMoney继续在Twitter公布了黑客的钱包等相关信息。（https://twitter.com/0xLosingMoney/status/1529401927590907904）

下面是@0xLosingMoney给出的黑客地址： ➼0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D ➼0x8e73fe4d5839c60847066b67ea657a67f42a0adf ➼0x6035B92fd5102b6113fE90247763e0ac22bfEF63 ➼0xBf41EFdD1b815556c2416DcF427f2e896142aa53 ➼0x29C80c2690F91A47803445c5922e76597D1DD2B6

相关地址分析： 由于整个被盗事件都提到“p2peers.io”这个钓鱼网站，所以我们从此处开始入手。这个在芬兰某域名公司注册的p2peers网站已被暂停使用，我们最终在谷歌网页快照中寻找到了该网站首页的信息。

根据网页快照可以发现https://p2peers.io/的前端代码，其中主要的JS代码是“js/app.eb17746b.js”。

由于已经无法直接查看JS代码，利用Cachedview网站的快照历史记录查到在2022年4月30日主要的JS源代码。通过对JS的整理，我们查到了代码中涉及到的钓鱼网站信息和交易地址。

热点：NFT