搜集相關(guān)信息： 慢霧安全團(tuán)隊(duì)收到相關(guān)情報(bào)并針對此次被盜事件進(jìn)行朔源分析。

我們開始在Twitter上搜集并分析此釣魚事件的相關(guān)信息時(shí)，發(fā)現(xiàn)@Dvincent_就是黑客的Twitter賬號，目前該賬戶已經(jīng)被注銷。而根據(jù)5月10日的記錄，推特用戶@just1n_eth（BAYC系列NFT持有者）就表示@Dvincent_曾與其聯(lián)系交易BAYCNFT，但由于對方堅(jiān)持使用p2peers.io，交易最后并未達(dá)成。（https://twitter.com/just1n_eth/status/1523896505446191104）

在該推特評論下用戶@jbe61表示自己曾遇到同一個(gè)人并給出了對話截圖。

5月25日晚，@0xLosingMoney繼續(xù)在Twitter公布了黑客的錢包等相關(guān)信息。（https://twitter.com/0xLosingMoney/status/1529401927590907904）

下面是@0xLosingMoney給出的黑客地址： ?0xe8250Bb4eFa6D9d032f7d46393CEaE18168A6B0D ?0x8e73fe4d5839c60847066b67ea657a67f42a0adf ?0x6035B92fd5102b6113fE90247763e0ac22bfEF63 ?0xBf41EFdD1b815556c2416DcF427f2e896142aa53 ?0x29C80c2690F91A47803445c5922e76597D1DD2B6

相關(guān)地址分析： 由于整個(gè)被盜事件都提到“p2peers.io”這個(gè)釣魚網(wǎng)站，所以我們從此處開始入手。這個(gè)在芬蘭某域名公司注冊的p2peers網(wǎng)站已被暫停使用，我們最終在谷歌網(wǎng)頁快照中尋找到了該網(wǎng)站首頁的信息。

根據(jù)網(wǎng)頁快照可以發(fā)現(xiàn)https://p2peers.io/的前端代碼，其中主要的JS代碼是“js/app.eb17746b.js”。

由于已經(jīng)無法直接查看JS代碼，利用Cachedview網(wǎng)站的快照歷史記錄查到在2022年4月30日主要的JS源代碼。通過對JS的整理，我們查到了代碼中涉及到的釣魚網(wǎng)站信息和交易地址。

熱點(diǎn)：NFT