一項分析顯示,亞馬遜最近失去了對其用於託管雲服務的 IP 地址的控制權,並花了三個多小時才重新獲得控制權,這一失誤讓黑客從一名受影響客戶的用戶那裡竊取了 235,000 美元的加密貨幣。

黑客通過 BGP 劫持控制了大約 256 個 IP 地址,這是一種利用核心 Internet 協議中已知弱點的攻擊形式。 BGP 是邊界網關協議的縮寫,是一種技術規範,用於路由流量的組織(稱為自治系統網絡)用於與其他 ASN 互操作。儘管 BGP 在全球實時路由大量數據方面發揮著至關重要的作用,但 BGP 仍然在很大程度上依賴於互聯網相當於口耳相傳,以便組織跟踪哪些 IP 地址正確屬於哪些 ASN。

身份錯誤案例

上個月,屬於英國網絡運營商 Quickhost.uk 的自治系統 209243 突然出現開始宣布其基礎設施是其他 ASN 訪問屬於 AS16509 的所謂 /24 IP 地址塊的正確路徑,AS16509 是亞馬遜運營的至少三個 ASN 之一。被劫持的區塊包括 44.235.216.69,一個託管 cbridge-prod2.celer.network 的 IP 地址,該子域負責為 Celer Bridge 加密貨幣交易所提供關鍵的智能合約用戶界面。

8 月 17 日,攻擊者利用劫持首先獲得了 cbridge-prod2.celer.network 的 TLS 證書,因為他們能夠向拉脫維亞的證書頒發機構 GoGetSSL 證明他們可以控制子域。擁有證書後,劫持者將自己的智能合約託管在同一域上,並等待試圖訪問真正 Celer Bridge cbridge-prod2.celer.network 頁面的人的訪問。

根據這篇文章 來自 Coinbase 的威脅情報團隊。

Coinbase TI 分析

Coinbase 團隊成員解釋說:

網絡釣魚合約與 Celer Bridge 官方合約非常相似,模仿了它的許多屬性。對於網絡釣魚合約中未明確定義的任何方法,它都會實現一個代理結構,將調用轉發到合法的 Celer Bridge 合約。代理合約對於每條鏈都是唯一的,並在初始化時進行配置。下面的命令說明了負責釣魚合約代理配置的存儲槽的內容:

釣魚智能合約代理存儲
放大 / 釣魚智能合約代理存儲
Coinbase TI 分析

網絡釣魚合約使用兩種方法竊取用戶的資金:

  • 網絡釣魚受害者批准的任何令牌都使用自定義方法耗盡,其 4 字節值 0x9c307de6()
  • 網絡釣魚合約會覆蓋以下旨在立即竊取受害者代幣的方法:
  • send()- 用於竊取代幣(例如 USDC)
  • sendNative() — 用於竊取原生資產(例如 ETH)
  • addLiquidity()- 用於竊取代幣(例如 USDC)
  • addNativeLiquidity() — 用於竊取原生資產(例如 ETH)

以下是將資產重定向到攻擊者錢包的示例逆向工程片段:

網絡釣魚智能合約片段
放大 /釣魚智能合約片段
Coinbase TI分析

Source: arstechnica.com