# Mimic Shhans 钓鱼网站分析

**Published by:** [issmall](https://paragraph.com/@icatsay/)
**Published on:** 2022-07-15
**URL:** https://paragraph.com/@icatsay/mimic-shhans

## Content

Mimic Shhans 相关链接：网站：mimicshhans.comTwitter：@MimicShhansOpenSea：Mimic Shhans所谓“人红是非多”，最近爆火的 Mimic Shhans 被人盯上了，注册了假的 Twitter 账号和假网站：更离谱的是，假 Twitter 账号粉丝比真的还多，更更离谱的是，根据 TwitterAudit 数据显示，假 Twitter 账号粉丝还全真：官方账号下还有 57 个粉丝被标为假用户呢，我真的是拴Q。。。 其实这个假 Twitter 账号出现也有几天了，当时一直以为就是推广一下假的 OpenSea 项目，平时我也就没事儿的时候举报一下，没怎么当回事儿。今天看群里说这个账号还活着，我就好奇进去看了看，看完之后直呼好家伙。。。 首先，假 Twitter 账号置顶了一篇推文：推文里的 LinkTree 链接也自然不会是真的，点进去可以看到两个链接：毕竟我是从 Twitter 里点进来的，自然也不会对 Twitter 的链接感兴趣，于是我继续看 Website，打开了 “mimicshhans.club”，也就是我上面截图的网站。 网站有个黄色的 “Connect Wallet” 的按钮，我也想看看能整出多大浪花，然后就连接了钱包，只支持小狐狸 MetaMask，连接之后按钮会变成 “MINT 1 FREE”，要知道 Mimic Shhans 好几天之前就已经被 Mint 完了，这里能 Mint 什么呢？ 我开始翻网页源码，并在里面寻找 JS 相关的链接，最终发现一个可能的目标：网页第 10051 行有个名叫 “sendermimic.js” 的脚本文件被加载，文件没多少行，整体看了一遍，大致可以将功能概述为：按照用户各个 ERC-721 NFT 资产价值大小依次授权给某个地址（0x3da336601dF9DCCb0203f57922C919649A8981d8），这就好比给黑客配了把家门钥匙。之后黑客会使用该地址会调用合约将用户的 NFT 转走。 关键代码分析如下： 程序通过 OpenSea API 查询用户持仓项目信息，并通过持仓数量（owned_asset_count）* 当日均价（one_day_average_price）计算用户资产价值，并根据资产价值进行排序：之后，程序会依次调用 NFT 合约的 setApprovalForAll 函数，授权地址 0x3da336601dF9DCCb0203f57922C919649A8981d8 可以操作用户的 NFT：这个过程中，每次调用合约都需要用户签名一笔交易：setApprovalForAll 函数接收两个参数：操作人、是否授权；从图中可以看出，第一个参数的值是黑客地址，第二个参数是 1 （true）。 如果用户签名了该交易，黑客就可以调用合约将用户的 NFT 转走：如果这个过程中用户有所察觉，反正最贵的都已经转走了。。。 然后我查了下黑客地址：相关交易有 536 条，其中第一页大部分都是在转 NFT，于是我通过 Dune.xyz 构造查询，确定了一下受害者信息：从图中可以看到，共有 424 个 NFT 被盗，其中，第一笔被盗的时间是 2022-05-17，而 Mimic Shhans 真正开始火的时间是 6月26日，也就是说该黑客并不仅仅针对 Mimic Shhans，还有其他项目也存在被钓鱼的风险。 另外，需要提示的是，由于是对黑客地址进行授权，而不仅仅是将 NFT 转给黑客，所以，如果后面没有解除授权的话，使用被盗的地址再买入这些系列的 NFT 还是会被盗。这就好比小偷偷配了你家钥匙，你不换锁他就一直能开你家锁，偷你家东西。 于是，我在 Dune.xyz 中尝试寻找这些对黑客进行授权的地址，但是很遗憾，Dune.xyz 好像清洗掉了这部分数据：不过好在昨天有朋友个给了我一个 Chainbase 的账号，于是我在 Chainbase 里面检索了一下（这速度不搞看板真是白瞎了），现在还有 433 个“地址-合约”对黑客地址的授权没有解除：这些地址如果继续买入 NFT 仍然有被盗风险。那么，怎么解除对黑客地址的授权呢？ 其实，Etherscan 就提供了授权管理的功能，连接钱包后可以看到 ERC-20、ERC-721、ERC-1155 协议下的授权情况，此处以某个被盗地址为例：由于这次钓鱼针对的是 ERC-721 协议的 NFT，所以此处直接切换到了 ERC-721 的标签。其中，“Asset” 是授权操作的合约即 NFT，“Approved Spender” 是可以操作资产的地址，从图中可以看到，第一条就是黑客的地址。点击最右侧的 “Revoke” 按钮并发送一笔交易，即可解除该授权。想要了解更多区块链安全知识推荐《区块链黑森林自救手册》。 Emmmm…本想用 MistTrack 分析一下相关的地址并且截个图出来，结果不太会用。。。就这样吧。。。**Q：**猫猫（Mimic Shhans）会被盗吗？ **A：**由于 Mimic Shhans 使用的 OpenSea 的公共合约，该合约基于 ERC-1155 协议，而此次钓鱼只针对 ERC-721 协议的 NFT，所以此次钓鱼中不会被盗。但并不代表 Mimic Shhans 不存在被盗风险，未来随着 NFT 价值的增长，可能会出现针对性的钓鱼事件。广告可以通过这些方式联系我： https://linktr.ee/issmall 另外，欢迎关注我的 Twitter，虽然不能带你赚钱，起码能告诉你怎么不丢钱。。。

## Publication Information

- [issmall](https://paragraph.com/@icatsay/): Publication homepage
- [All Posts](https://paragraph.com/@icatsay/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@icatsay): Subscribe to updates
- [Twitter](https://twitter.com/i55m411): Follow on Twitter