亞馬遜 3 小時的不作為如何讓加密貨幣持有者損失 235,000 美元


亞馬遜 3 小時的不作為如何讓加密貨幣持有者損失 235,000 美元

一項分析顯示,亞馬遜最近失去了對其用於託管雲服務的 IP 地址的控制,並花了三個多小時才重新獲得控制權,這一失誤讓黑客從一名受影響客戶的用戶那裡竊取了 235,000 美元的加密貨幣。

黑客通過 BGP 劫持控制了大約 256 個 IP 地址,這是一種利用核心 Internet 協議中已知弱點的攻擊形式。 BGP 是邊界網關協議的縮寫,是一種技術規範,用於路由流量的組織(稱為自治系統網絡)用於與其他 ASN 互操作。 儘管 BGP 在全球實時路由大量數據方面發揮著至關重要的作用,但 BGP 仍然在很大程度上依賴於互聯網相當於口耳相傳,以便組織跟踪哪些 IP 地址正確屬於哪些 ASN。

一個錯誤的身份案例

上個月,屬於英國網絡運營商的自治系統 209243 Quickhost.uk,突然開始宣布其基礎設施是其他 ASN 訪問屬於 AS16509(亞馬遜運營的至少三個 ASN 之一)的所謂 /24 塊 IP 地址的正確路徑。 被劫持的區塊包括 44.235.216.69,這是一個託管 cbridge-prod2.celer.network 的 IP 地址,該子域負責為 Celer Bridge 加密貨幣交易所提供關鍵的智能合約用戶界面。

8 月 17 日,攻擊者利用劫持首先獲得了 cbridge-prod2.celer.network 的 TLS 證書,因為他們能夠向拉脫維亞的證書頒發機構 GoGetSSL 證明他們可以控制子域。 擁有證書後,劫持者將自己的智能合約託管在同一域上,並等待試圖訪問真正 Celer Bridge cbridge-prod2.celer.network 頁面的人的訪問。

據統計,該惡意合約總共從 32 個賬戶中流失了 234,866.65 美元。 這篇文章 來自 Coinbase 的威脅情報團隊。

Coinbase TI 分析

Coinbase 團隊成員解釋說:

網絡釣魚合同通過模仿其許多屬性,與官方 Celer Bridge 合同非常相似。 對於網絡釣魚合約中未明確定義的任何方法,它都會實現一個代理結構,將調用轉發到合法的 Celer Bridge 合約。 代理合約對於每條鏈都是唯一的,並在初始化時進行配置。 下面的命令說明了負責釣魚合約代理配置的存儲槽的內容:

釣魚智能合約代理存儲
放大 / 釣魚智能合約代理存儲

Coinbase TI 分析

網絡釣魚合約使用兩種方法竊取用戶的資金:

  • 任何被網絡釣魚受害者批准的令牌都使用自定義方法耗盡,其 4 字節值 0x9c307de6()
  • 網絡釣魚合約會覆蓋以下旨在立即竊取受害者代幣的方法:
  • send() – 用於竊取代幣(例如 USDC)
  • sendNative() — 用於竊取原生資產(例如 ETH)
  • addLiquidity() – 用於竊取代幣(例如 USDC)
  • addNativeLiquidity() — 用於竊取原生資產(例如 ETH)

以下是將資產重定向到攻擊者錢包的示例逆向工程片段:

網絡釣魚智能合約片段
放大 / 網絡釣魚智能合約片段

Coinbase TI 分析

發佈留言