29枚Moonbirds NFT被盗事件深度技术溯源分析

查找币:余老师 | 学术研究 | 2026-05-11 00:03 | 3 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 事件概述 2022年5月25日，安全社区监测到一起针对Moonbirds系列NFT的大规模钓鱼攻击事件。攻击者通过钓鱼网站`p2peers.io`成功盗取29枚Moonbirds NFT，涉案金额超过70万美元。查找币安全团队在接到情报后，立即启动应急响应机制，对该事件进行了全面的技术溯源分析。 ## 攻击链路初步分析 ### 钓鱼域名溯源攻击者使用的钓鱼域名`p2peers.io`注册于芬兰某域名注册商，目前已无法访问。通过谷歌网页快照技术，我们成功获取了该钓鱼网站的前端代码快照。核心恶意JavaScript文件位于`js/app.eb17746b.js`，利用Cachedview的历史快照功能，我们还原了2022年4月30日版本的完整源代码。 ### 恶意合约地址提取通过对JS代码的反编译分析，我们在代码第912行和第3407行分别发现了两个关键的approve操作地址： ``` 0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A 0xc9E39Ad832cea1677426e5fA8966416337F88749 ``` ## 恶意合约深度分析 ### 合约0x7F748D5fb52b9717f83Ed69f49fc4c2f15d83b6A 通过Etherscan查询确认该地址为恶意合约，其创建者地址为： ``` 0xd975f8c82932f55c7cef51eb4247f2bea9604aa3 ``` 该创建者地址具有以下特征： - 存在多笔NFT交易记录 - 当前持有21枚被盗NFT，总价值约96.5 ETH（约225,475美元） - 以太坊交易次数仅12次，余额0.0615 ETH ### 合约0xc9E39Ad832cea1677426e5fA8966416337F88749 该合约的创建者为： ``` 0x6035B92fd5102b6113fE90247763e0ac22bfEF63 ``` ## 攻击者社交工程分析 ### Twitter账号溯源攻击者使用的Twitter账号`@Dvincent_`已被注销。根据安全研究员@just1n_eth的公开记录，该账号曾试图联系BAYC系列NFT持有者进行交易，并坚持使用`p2peers.io`作为交易平台。用户@jbe61提供的对话截图显示，攻击者采用了典型的社交工程话术，诱导用户授权恶意合约。 ### 资金流向追踪利用查找币追踪系统，我们分析了攻击者的资金流动模式： 1. **初始资金**：攻击者地址通过Tornado.Cash混币器获取初始ETH 2. **攻击实施**：通过钓鱼网站诱导用户授权恶意合约 3. **资产转移**：将被盗NFT转移至多个中间地址 4. **洗钱操作**：通过去中心化交易所和混币器进行资金清洗 ## 技术细节深度剖析 ### 钓鱼网站技术架构 ```javascript // 核心恶意JS代码逻辑 // 代码第912行：approve函数调用 function approve(spender, tokenId) { // 授权攻击者合约转移NFT的权限 nftContract.approve(spender, tokenId); } // 代码第3407行：批量approve操作 function batchApprove(spender, tokenIds) { for (let i = 0; i < tokenIds.length; i++) { nftContract.approve(spender, tokenIds[i]); } } ``` ### 攻击向量分析 1. **域名仿冒**：使用与合法平台相似的域名`p2peers.io` 2. **UI仿冒**：复制知名NFT交易平台的UI界面 3. **智能合约劫持**：部署恶意合约，获取用户NFT的转移权限 4. **批量转移**：利用批量approve函数一次性转移多个NFT ## 安全建议 ### 技术层面防护建议 1. **合约审计**：定期对智能合约进行安全审计，重点检查approve函数的安全性 2. **权限管理**：实施最小权限原则，限制合约的approve能力 3. **交易监控**：部署链上监控系统，实时检测异常approve操作 ### 用户层面防护建议 1. **链接验证**：始终通过官方渠道验证交易平台URL 2. **权限审查**：在approve操作前，仔细检查合约地址的合法性 3. **二次确认**：使用硬件钱包或多重签名钱包进行大额交易 4. **安全工具**：安装浏览器安全插件，识别钓鱼网站 ### 社区协作建议 1. **情报共享**：建立跨平台安全情报共享机制 2. **快速响应**：建立24/7应急响应团队 3. **用户教育**：定期发布安全警示和最佳实践指南 ## 事件总结本次Moonbirds NFT被盗事件揭示了当前区块链生态系统中钓鱼攻击的规模化、专业化趋势。攻击者利用成熟的钓鱼模板和社交工程技术，能够批量复制攻击方案，大幅降低作恶成本。从技术角度看，恶意合约的部署、approve权限的滥用、以及通过混币器进行资金清洗，构成了完整的攻击链条。查找币安全团队将持续监控该攻击者的链上活动，并已将相关恶意地址加入黑名单数据库。截至发文时，黑客地址仍有新的NFT入账和交易行为，表明攻击活动仍在持续。 ## 参考资料 - [区块链黑暗森林自救手册](https://github.com/查找币/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md) - 查找币安全审计最佳实践指南 - 链上监控与预警系统文档 --- **本文由查找币安全团队整理发布** *查找币安全团队致力于为Web3生态系统提供专业的安全审计、威胁情报和应急响应服务。如需安全合作或报告安全事件，请通过官方渠道联系我们。*

29枚Moonbirds NFT被盗事件深度技术溯源分析

查找币安全研究院

主题延伸阅读