A Amazon recentemente perdeu o controle dos endereços IP que usa para hospedar serviços em nuvem e levou mais de três horas para recuperar o controle, um tempo que permitiu que hackers roubassem US$ 235.000 em criptomoedas dos usuários de um dos clientes afetados, mostra uma análise.
Os hackers assumiram o controle de aproximadamente 256 endereços IP usando o seqüestro de BGP, uma forma de ataque que explora fraquezas conhecidas em um protocolo central da Internet. Abreviação de protocolo de gateway de fronteira, BGP é uma especificação técnica que as organizações que roteiam o tráfego, conhecidas como redes de sistema autônomo, usam para interoperar com outros ASNs. Apesar de seu papel crucial no roteamento de grandes quantidades de dados ao redor do mundo em tempo real, o BGP ainda depende muito do equivalente do boca a boca da Internet para que as organizações rastreiem quais endereços IP pertencem legitimamente a quais ASNs.
Um caso de identidade equivocada
No mês passado, o sistema autônomo 209243, que pertence à operadora de rede com sede no Reino Unido Quickhost.es, de repente começou a anunciar que sua infraestrutura era a rota adequada para outros ASNs acessarem o que é conhecido como o bloco /24 de endereços IP pertencentes ao AS16509, um dos pelo menos três ASNs operados pela Amazon. O bloco sequestrado incluía 44.235.216.69, um endereço IP que hospeda cbridge-prod2.celer.network, um subdomínio responsável por servir uma interface de usuário de contrato inteligente crítica para a troca de criptomoedas Celer Bridge.
Em 17 de agosto, os invasores usaram o seqüestro para obter primeiro um certificado TLS para cbridge-prod2.celer.network, pois conseguiram provar à autoridade de certificação GoGetSSL na Letônia que tinham controle sobre o subdomínio. Possuindo o certificado, os sequestradores hospedavam seu próprio contrato inteligente no mesmo domínio e esperavam visitas de pessoas que tentavam acessar a página real do Celer Bridge cbridge-prod2.celer.network.
Ao todo, o contrato malicioso drenou um total de US$ 234.866,65 de 32 contas, de acordo com está escrito da equipe de inteligência de ameaças da Coinbase.
Análise de TI da Coinbase
Os membros da equipe Coinbase explicaram:
O contrato de phishing se assemelha ao contrato oficial do Celer Bridge, imitando muitos de seus atributos. Para qualquer método não definido explicitamente no contrato de phishing, ele implementa uma estrutura de proxy que encaminha chamadas para o contrato legítimo do Celer Bridge. O contrato de proxy é exclusivo para cada cadeia e é configurado na inicialização. O comando a seguir ilustra o conteúdo do slot de armazenamento responsável pela configuração do proxy do contrato de phishing:
Prolongar/ Armazenamento de proxy de contrato inteligente de phishing
Análise de TI da Coinbase
O contrato de phishing rouba fundos do usuário usando duas abordagens:
Todos os tokens passados por vítimas de phishing são drenados usando um método personalizado com um valor de 4 bytes 0x9c307de6()
O contrato de phishing substitui os seguintes métodos projetados para roubar imediatamente os tokens de uma vítima:
send() – usado para roubar tokens (por exemplo, USDC)
sendNative() – usado para roubar ativos nativos (por exemplo, ETH)
addLiquidity() – usado para roubar tokens (por exemplo, USDC)
addNativeLiquidity() – usado para roubar ativos nativos (por exemplo, ETH)
Abaixo está um snippet de engenharia reversa de amostra que redireciona ativos para a carteira do invasor:
Prolongar/ Snippet de contrato inteligente de phishing
