Moonbirds&Azuki NFT钓鱼事件浅析

OKLink 链上卫士监控，北京时间 2022 年 8 月 31 日，匿名诈骗者使用与知名 NFT 项目 Moonbirds 和 Azuki 相似域名，部署恶意代码，诱骗用户进行 Mint 操作，盗取用户的 NFT 。匿名诈骗者在网页代码中使用的钓鱼地址为：0xeBfcFf8dcA8b05E0AcaceaC402B0373960Ce438D（目前已经更新为：0xc75269B342c1b7f4cBB82E80a7986878Ac0F545b）。

钓鱼网站分析

链上卫士分析师查看网站源代码，在 /style/asli.js 中发现攻击者地址为0xeBfcFf8dcA8b05E0AcaceaC402B0373960Ce438D

攻击逻辑

在攻击者恶意网页中，用户点击 mint，触发函数 getAccount()

函数 getAccount 主要逻辑为查询用户地址，并调用 syncNfts() 函数进行用户 NFT 查询，最后判断链接网络是否为以太坊主网并进行连接状态检测。

函数 syncNfts() 用于通过 moralis 提供的 NFT 查询接口获取用户的 NFT 列表。

受害者NFT数据信息获取请求

数据响应返回，返回了受害者持有的 NFT（如下图）

当诈骗者获取用户 NFT 列表后，调用 sendTransaction 进行盗取 NFT。从网页代码看，sendTransaction 函数已经被去除，当前存在的 sendTransaction1 函数部分利用 eth_sendTransaction 发起交易，但是该调用也移除了data 字段，理论 data 字段应该是编码 safeTransferFrom，转移用户钱包内的 NFT 资产。

通过缓存拿到的 sendTransaction 函数细节分析如下(web33.min.js)：

钓鱼结果

OKLink 链上卫士监控，被钓鱼的 NFT 目前主要包含 16 种不同的 NFT，其中被钓鱼比较多数量的项目有 ENS 18个、UNKNOWN 10个、VDSC 7个、TOYMORIES 5个。其中部分被盗 NFT 部分转移到 0x2b8e04387e756cadf53235af6f42e6a653fd65f8 地址后卖出，截止目前已知地址获利 8.27 ETH (约 $13, 172)。