Bagaimana 3 jam tidak bertindak dari Amazon menyebabkan pemegang mata wang kripto kos $235,000

Amazon baru-baru ini kehilangan kawalan ke atas alamat IP yang digunakannya untuk mengehos perkhidmatan awan dan mengambil masa lebih tiga jam untuk mendapatkan semula kawalan, satu masa yang membolehkan penggodam mencuri $235,000 dalam mata wang kripto daripada pengguna salah seorang pelanggan yang terjejas, analisis menunjukkan.

Penggodam menguasai kira-kira 256 alamat IP melalui rampasan BGP, satu bentuk serangan yang mengeksploitasi kelemahan yang diketahui dalam protokol Internet teras. Pendek untuk protokol gerbang sempadan, BGP ialah spesifikasi teknikal yang digunakan oleh organisasi yang menghalakan trafik, yang dikenali sebagai rangkaian sistem autonomi, untuk saling beroperasi dengan ASN lain. Walaupun fungsinya yang penting dalam menghalakan jumlah borong data di seluruh dunia dalam masa nyata, BGP masih banyak bergantung pada Internet yang setara dari mulut ke mulut untuk organisasi menjejak alamat IP yang sah milik ASN mana.

Kes silap identiti

Bulan lepas, sistem autonomi 209243, yang dimiliki oleh pengendali rangkaian yang berpangkalan di UK Quickhost.uk, tiba-tiba mula mengumumkan infrastrukturnya ialah laluan yang sesuai untuk ASN lain mengakses apa yang dikenali sebagai blok /24 alamat IP milik AS16509, salah satu daripada sekurang-kurangnya tiga ASN yang dikendalikan oleh Amazon. Blok yang dirampas termasuk 44.235.216.69, alamat IP yang mengehos cbridge-prod2.celer.network, subdomain yang bertanggungjawab untuk menyediakan antara muka pengguna kontrak pintar yang kritikal untuk pertukaran mata wang kripto Celer Bridge.

Pada 17 Ogos, penyerang menggunakan rampasan untuk mendapatkan sijil TLS terlebih dahulu untuk cbridge-prod2.celer.network, kerana mereka dapat menunjukkan kepada pihak berkuasa sijil GoGetSSL di Latvia bahawa mereka mempunyai kawalan ke atas subdomain. Dengan memiliki sijil, perampas kemudiannya menganjurkan kontrak pintar mereka sendiri pada domain yang sama dan menunggu lawatan daripada orang yang cuba mengakses halaman Celer Bridge cbridge-prod2.celer.network sebenar.

Secara keseluruhan, kontrak berniat jahat itu menghabiskan sejumlah $234,866.65 daripada 32 akaun, menurut penulisan ini daripada pasukan perisikan ancaman dari Coinbase.

Bagaimana 3 jam tidak bertindak dari Amazon menyebabkan pemegang mata

Analisis Coinbase TI

Ahli pasukan Coinbase menjelaskan:

Kontrak pancingan data hampir menyerupai kontrak rasmi Celer Bridge dengan meniru banyak atributnya. Untuk sebarang kaedah yang tidak ditakrifkan secara eksplisit dalam kontrak pancingan data, ia melaksanakan struktur proksi yang memajukan panggilan kepada kontrak Celer Bridge yang sah. Kontrak yang diproksikan adalah unik untuk setiap rantai dan dikonfigurasikan pada permulaan. Perintah di bawah menggambarkan kandungan slot storan yang bertanggungjawab untuk konfigurasi proksi kontrak pancingan data:

Storan proksi kontrak pintar pancingan data
Besarkan / Storan proksi kontrak pintar pancingan data

Analisis Coinbase TI

Kontrak pancingan data mencuri dana pengguna menggunakan dua pendekatan:

  • Sebarang token yang diluluskan oleh mangsa pancingan data disalirkan menggunakan kaedah tersuai dengan nilai 4bait 0x9c307de6()
  • Kontrak pancingan data mengatasi kaedah berikut yang direka untuk segera mencuri token mangsa:
  • send()- digunakan untuk mencuri token (cth USDC)
  • sendNative() — digunakan untuk mencuri aset asli (cth ETH)
  • addLiquidity()- digunakan untuk mencuri token (cth USDC)
  • addNativeLiquidity() — digunakan untuk mencuri aset asli (cth ETH)

Di bawah ialah contoh coretan kejuruteraan terbalik yang mengubah hala aset ke dompet penyerang:

Coretan kontrak pintar pancingan data
Besarkan / Coretan kontrak pintar pancingan data

Analisis Coinbase TI

We want to give thanks to the writer of this short article for this outstanding content

Bagaimana 3 jam tidak bertindak dari Amazon menyebabkan pemegang mata wang kripto kos $235,000


Explore our social media profiles and other pages related to themhttps://paw6.info/related-pages/