Hoe 3 uur niets doen van Amazon houders van cryptocurrency $ 235.000 heeft gekost

Hoe 3 uur niets doen van Amazon houders van cryptocurrency $ 235.000 heeft gekost

Amazon verloor onlangs de controle over de IP-adressen die het gebruikt om cloudservices te hosten en het kostte meer dan drie uur om de controle terug te krijgen, een fout waardoor hackers $ 235.000 aan cryptocurrency konden stelen van gebruikers van een van de getroffen klanten, blijkt uit een analyse.

De hackers grepen de controle over ongeveer 256 IP-adressen door middel van BGP-kaping, een vorm van aanval die misbruik maakt van bekende zwakheden in een kerninternetprotocol. Afkorting van border gateway protocol, BGP is een technische specificatie die organisaties die verkeer routeren, ook wel autonome systeemnetwerken genoemd, gebruiken om samen te werken met andere ASN’s. Ondanks zijn cruciale functie bij het in realtime routeren van grote hoeveelheden gegevens over de hele wereld, vertrouwt BGP nog steeds grotendeels op het internetequivalent van mond-tot-mondreclame voor organisaties om bij te houden welke IP-adressen rechtmatig tot welke ASN’s behoren.

Een geval van verkeerde identiteit

Vorige maand begon het autonoom systeem 209243, dat toebehoort aan de in het VK gevestigde netwerkoperator Quickhost.uk, plotseling aan te kondigen dat zijn infrastructuur het juiste pad was voor andere ASN’s om toegang te krijgen tot wat bekend staat als een /24-blok met IP-adressen van AS16509, een van ten minste drie ASN’s beheerd door Amazon. Het gekaapte blok omvatte 44.235.216.69, een IP-adres dat cbridge-prod2.celer.network host, een subdomein dat verantwoordelijk is voor het bedienen van een kritieke smart contract-gebruikersinterface voor de Celer Bridge-cryptocurrency-uitwisseling.

Op 17 augustus gebruikten de aanvallers de kaping om eerst een TLS-certificaat voor cbridge-prod2.celer.network te verkrijgen, aangezien ze aan certificeringsinstantie GoGetSSL in Letland konden aantonen dat ze controle hadden over het subdomein. Met het bezit van het certificaat hosten de kapers vervolgens hun eigen slimme contract op hetzelfde domein en wachtten op bezoeken van mensen die toegang probeerden te krijgen tot de echte Celer Bridge cbridge-prod2.celer.network-pagina.

In totaal heeft het kwaadwillende contract in totaal $ 234.866,65 van 32 accounts afgevoerd, volgens dit artikel van het threat intelligence-team van Coinbase.

Coinbase TI-analyse

De teamleden van Coinbase legden uit:

Het phishing-contract lijkt sterk op het officiële Celer Bridge-contract door veel van zijn kenmerken na te bootsen. Voor elke methode die niet expliciet is gedefinieerd in het phishing-contract, implementeert het een proxystructuur die oproepen doorstuurt naar het legitieme Celer Bridge-contract. Het proxycontract is uniek voor elke keten en wordt geconfigureerd bij initialisatie. De onderstaande opdracht illustreert de inhoud van het opslagslot dat verantwoordelijk is voor de proxyconfiguratie van het phishing-contract:

Phishing smart contract proxy-opslag
Vergroten / Phishing smart contract proxy-opslag

Coinbase TI-analyse

Het phishing-contract steelt het geld van gebruikers op twee manieren:

  • Alle tokens die zijn goedgekeurd door phishing-slachtoffers worden leeggemaakt met behulp van een aangepaste methode met een waarde van 4 bytes 0x9c307de6()
  • Het phishing-contract heeft voorrang op de volgende methoden die zijn ontworpen om onmiddellijk de tokens van een slachtoffer te stelen:
  • send()- gebruikt om tokens te stelen (bijv. USDC)
  • sendNative() — gebruikt om native activa te stelen (bijv. ETH)
  • addLiquidity() – gebruikt om tokens te stelen (bijv. USDC)
  • addNativeLiquidity() — gebruikt om native activa te stelen (bijv. ETH)

Hieronder ziet u een voorbeeld van een reverse-engineering-fragment dat activa omleidt naar de portemonnee van de aanvaller:

Fragment van smart-contract voor phishing
Vergroten / Fragment van smart-contract voor phishing

Coinbase TI-analyse

Leave a Comment