L’analisi mostra che Amazon ha recentemente perso il controllo degli indirizzi IP che utilizza per ospitare i servizi cloud e ha impiegato più di tre ore per riprendere il controllo, un errore che ha consentito agli hacker di rubare 235.000 dollari in criptovaluta dagli utenti di un cliente interessato.
Gli hacker hanno sequestrato circa 256 indirizzi IP tramite il dirottamento BGP, una forma di attacco che sfrutta vulnerabilità note nel protocollo Internet sottostante. Abbreviazione di Border Gateway Protocol, BGP è una specifica tecnica utilizzata dalle organizzazioni che instradano il traffico, note come Autonomous System Networks, per interagire con altri ASN. Nonostante la sua funzione fondamentale di instradare grandi quantità di dati in tutto il mondo in tempo reale, BGP si affida ancora in gran parte all’equivalente Internet del passaparola aziendale per tracciare quali indirizzi IP appartengono di diritto agli ASN.
Caso di errore di identità
Il mese scorso, il sistema indipendente 209243, che appartiene all’operatore di rete del Regno Unito Quickhost.uk, improvvisamente ha iniziato ad annunciare che la sua infrastruttura era la strada giusta per gli altri ASN per accedere al cosiddetto blocco/24 di indirizzi IP appartenenti ad AS16509, uno degli almeno tre ASN gestiti da Amazon. Il blocco dirottato conteneva 44.235.216.69, un indirizzo IP che ospitava cbridge-prod2.celer.network, un sottodominio responsabile di un importante servizio di interfaccia utente smart contract per lo scambio di criptovaluta Celer Bridge.
Il 17 agosto, gli aggressori hanno utilizzato il dirottamento per ottenere prima un certificato TLS per cbridge-prod2.celer.network, poiché sono stati in grado di dimostrare all’autorità di certificazione GoGetSSL lettone di avere il controllo sul sottodominio. Con il certificato in possesso, i dirottatori hanno ospitato il loro smart contract sullo stesso dominio e hanno atteso le visite di persone che tentavano di accedere alla vera pagina cbridge-prod2.celer.network di Celer Bridge.
In tutto, il contratto dannoso ha prosciugato un totale di $ 234.866,65 da 32 account, secondo Questa scrittura Dal team di intelligence sulle minacce di Coinbase.
Coinbase TI. Analisi
I membri del team di Coinbase hanno spiegato:
Il contratto di phishing è molto simile al contratto ufficiale di Celer Bridge emulando molte delle sue caratteristiche. Per qualsiasi metodo non esplicitamente specificato nel contratto di phishing, implementa una struttura proxy che inoltra le chiamate al legittimo contratto Celer Bridge. I nodi proxy sono univoci per ciascuna catena e vengono configurati al momento dell’inizializzazione. Il comando seguente mostra il contenuto dello slot di archiviazione responsabile della configurazione dell’agente del contratto di phishing:
Ingrandisci/ Archiviazione proxy smart contract per phishing
Coinbase TI. Analisi
Il contratto di phishing ruba i soldi degli utenti utilizzando due metodi:
Tutti i token approvati vengono rimossi dalle vittime di phishing utilizzando un metodo personalizzato a 4 byte 0x9c307de6()
Il contratto di phishing elimina i seguenti metodi progettati per rubare istantaneamente i token della vittima:
send() – utilizzato per rubare token (ad es. USDC)
sendNative() – utilizzato per rubare asset originali (ad es. ETH)
addL Liquidity() – utilizzato per rubare token (ad es. USDC)
addNativeL Liquidity() – utilizzato per rubare asset locali (ad es. ETH)
Di seguito è riportato uno snippet di esempio progettato al contrario che reindirizza le risorse al portafoglio dell’attaccante:
Ingrandisci/ Frammento di contratto intelligente di phishing
