Connect with us

technologia

Jak 3 godziny bezczynności kosztują posiadaczy kryptowalut Amazon 235 000 USD

Published

on

Amazon stracił ostatnio kontrolę nad adresami IP, których używa do hostowania usług w chmurze, i odzyskanie kontroli zajęło ponad trzy godziny, co pozwoliło hakerom ukraść kryptowalutę o wartości 235 000 USD od użytkowników, którzy kradli jednego z zaatakowanych klientów, jak pokazuje analiza.

Hakerzy przejęli kontrolę nad około 256 adresami IP poprzez przejęcie BGP, formę ataku wykorzystującą znane luki w podstawowym protokole internetowym. BGP, skrót od Border Gateway Protocol, to specyfikacja techniczna, której organizacje przekazujące ruch, znane jako sieci systemów autonomicznych, używają do współpracy z innymi ASN. Pomimo swojej kluczowej roli w routingu dużych ilości danych na całym świecie w czasie rzeczywistym, BGP nadal w dużej mierze opiera się na internetowym odpowiedniku przekazu szeptanego, aby umożliwić organizacjom śledzenie, które adresy IP zgodnie z prawem należą do których ASN-ów.

Przypadek błędnej tożsamości

W zeszłym miesiącu autonomiczny system 209243 należący do brytyjskiego operatora sieci Quickhost.pl, nagle zaczął głosić, że jego infrastruktura jest właściwym sposobem dla innych ASN-ów na dostęp do tak zwanego bloku /24 adresów IP należących do AS16509, jednego z co najmniej trzech ASN-ów obsługiwanych przez Amazon. Porwany blok zawierał 44.235.216.69, adres IP reprezentujący cbridge-prod2.celer.nethosting, subdomenę odpowiedzialną za dostarczenie krytycznego interfejsu inteligentnego kontraktu dla giełdy kryptowalut Celer Bridge.

17 sierpnia osoby atakujące wykorzystały przejęcie, aby najpierw uzyskać certyfikat TLS dla cbridge-prod2.celer.net, ponieważ mogli udowodnić organowi certyfikacji GoGetSSL na Łotwie, że kontrolują subdomenę. Posiadając certyfikat, porywacze hostowali następnie własną inteligentną umowę w tej samej domenie i oczekiwali na wizyty osób próbujących uzyskać dostęp do prawdziwej strony cbridge-prod2.celer.network firmy Celer Bridge.

W sumie złośliwa umowa odjęła łącznie 234.866,65 USD z 32 kont ta atrybucja przez zespół ds. analizy zagrożeń firmy Coinbase.

Analiza TI Coinbase

Członkowie zespołu Coinbase wyjaśnili:

Umowa phishingowa bardzo przypomina oficjalną umowę Celer Bridge, naśladując wiele jej cech. W przypadku wszystkich metod, które nie zostały wyraźnie zdefiniowane w kontrakcie phishingowym, implementuje strukturę proxy, która przekierowuje wywołania do legalnego kontraktu Celer Bridge. Kontrakt proxy jest unikalny dla każdego łańcucha i jest konfigurowany podczas inicjowania. Poniższe polecenie ilustruje zawartość gniazda pamięci odpowiedzialnego za konfigurację proxy umowy phishingowej:

Sklep proxy z inteligentnymi umowami phishingowymi
Powiększać / Sklep proxy z inteligentnymi umowami phishingowymi

Analiza TI Coinbase

Kontrakt phishingowy kradnie środki użytkowników na dwa sposoby:

  • Wszystkie tokeny zatwierdzone przez ofiary phishingu są usuwane przy użyciu niestandardowej metody z 4-bajtową wartością 0x9c307de6().
  • Umowa phishingowa zastępuje następujące metody mające na celu natychmiastową kradzież tokenów ofiary:
  • send()- służy do kradzieży tokenów (np. USDC)
  • sendNative() — służy do kradzieży zasobów natywnych (np. ETH)
  • addLiquidity() – służy do kradzieży tokenów (np. USDC)
  • addNativeLiquidity() — służy do kradzieży zasobów natywnych (np. ETH)

Poniżej znajduje się przykład fragmentu kodu poddanego inżynierii wstecznej, który przekierowuje zasoby do portfela atakującego:

Fragment inteligentnej umowy phishingowej
Powiększać / Fragment inteligentnej umowy phishingowej

Analiza TI Coinbase

READ  Kontrola naziemna: architektura lotnicza poza lotniskiem
Continue Reading
Click to comment

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.