慢雾：“0元购买”NFT钓鱼网站分析

区块链网www.gavelz.com记者报道：不要点击未知链接，不要批准任何未知网站的签名请求。

根据慢雾区情报，发现的NFT钓鱼网站如下：

• 钓鱼网站1：https://www.gavelz.com/

• 钓鱼网站2：https://www.gavelz.com/

我们先来分析一下钓鱼网站1：

进入网站并连接钱包后，立即弹出签名框，当我尝试点击签名以外的按钮时，没有任何反应。好像只有一张图片显示。

我们先看一下签名内容：

• 制造商：用户地址

• 接受者：0xde6135b63decc47d5a5d47834a7dd241fe61945a

• 交换：0x7f268357A8c2552623316e2562D90e642bB538E5。查询后显示是OpenSea V2合约地址。

大致可以看出，这是一份欺骗用户签署NFT的销售订单。 NFT 由用户持有。一旦用户签署了这个订单，骗子就可以直接通过OpenSea购买用户的NFT，但购买价格由骗子决定。也就是说，骗子不用花钱就可以“购买”用户的NFT。

另外，签名本身是为攻击者存储的，通过www.gavelz.com或Etherscan等网站取消授权无法丢弃签名的有效性，但你可以取消之前的订单授权，也可以避免这种钓鱼风险从源头上。

查看源代码，我们发现这个钓鱼网站直接利用HTTrack工具克隆了www.gavelz.com网站（真实网站）。对比两个网站的代码，我们发现该钓鱼网站的内容如下：

查看这个JS文件，发现了另一个钓鱼网站https://www.gavelz.com。

完全相同，使用 HTTrack 复制了 https://www.gavelz.com/（真实网站），同样只有一张静态图像显示。

通过上图中的链接，我们来到了另一个使用 HTTrack 的钓鱼网站 https://www.gavelz.com。我们仿佛进入了一个渔窝。

比对代码，发现一个新的钓鱼网站https://www.gavelz.com，但已无法打开。

搜索发现 18 个与网络钓鱼网站 www.gavelz.com 相关的结果。同时，钓鱼网站2（https://www.gavelz.com/）也榜上有名。同一批骗子互相抄袭，撒网广泛。

我们来分析一下钓鱼网站2：

同样，点击进去会直接弹出请求签名的窗口：

授权内容与钓鱼网站1相同：

• 制造商：用户地址

• 交易所：OpenSea V2 合约

• Taker：诈骗者合约地址

首先分析诈骗者的合约地址（0xde6...45a）。可以看到，该合约地址已被MistTrack标记为高风险钓鱼地址。

接下来，我们使用 MistTrack 来分析合约的创建者地址（0x542...b56）：

经发现，该钓鱼地址的初始资金来自另一个标记为钓鱼地址（0x071...48E），进一步追溯，该资金来自另外三个钓鱼地址。

总结

本文主要讲解一种比较常见的 NFT 钓鱼手段，即诈骗者可以用 0 ETH（或任何代币）购买您所有授权的 NFT。与此同时，我们也紧随其后，拔掉了一批钓鱼网站。建议大家在尝试登录或购买之前验证他们正在使用的 NFT 网站的 URL。同时，不要点击未知链接或批准未知网站上的任何签名请求。定期检查是否存在异常合约交互，及时撤销授权。最后，做好隔离工作，不要将资金放在同一个钱包里。