Kuidas Amazoni kolmetunnine tegevusetus maksis krüptovaluuta omanikele 235 000 dollarit

Amazon kaotas hiljuti kontrolli IP-aadresside üle, mida ta pilveteenuste hostimiseks kasutab, ja kontrolli taastamiseks kulus üle kolme tunni, võimaldades häkkeritel varastada ühe mõjutatud kliendi kasutajatelt 235 000 dollarit krüptovaluutat, näitab analüüs.

Häkkerid said umbes 256 IP-aadressi, kasutades BGP kaaperdamist – ründevormi, mis kasutab ära Interneti-protokolli teadaolevaid nõrkusi. Lühend piirivärava protokollist, BGP on tehniline spetsifikatsioon, mida liikluse marsruutimise organisatsioonid, st autonoomsed süsteemivõrgud, kasutavad koostööks teiste ASN-võrkudega. Vaatamata oma üliolulisele rollile hulgimüügi andmemahtude suunamisel üle maailma reaalajas, toetub BGP endiselt suurel määral Interneti-suhu levile, et võimaldada organisatsioonidel jälgida, millised IP-aadressid millisele ASN-ile õigustatult kuuluvad.

Vale identiteedi juhtum

Eelmisel kuul autonoomne süsteem 209243, mis kuulus Ühendkuningriigis asuvale võrguoperaatorile Quickhost.uk, hakkas järsku teatama, et selle infrastruktuur on õige tee, et teised ASN-id pääseksid juurde /24 IP-aadresside plokile, mis kuuluvad AS16509-le, mis on üks vähemalt kolmest Amazoni hallatavast ASN-ist. Kaaperdatud plokk sisaldas IP-aadressi 44.235.216.69, mis majutab cbridge-prod2.celer.network alamdomeeni, mis vastutab Celer Bridge’i krüptovaluutavahetuse kriitilise nutika lepingu liidese teenindamise eest.

17. augustil kasutasid ründajad kaaperdamist, et hankida esmalt cbridge-prod2.celer.network TLS-sertifikaat, kuna nad suutsid Läti GoGetSSL-ile tõestada, et nad kontrollivad alamdomeeni. Sertifikaat käes, hostisid kaaperdajad seejärel oma nutikat lepingut samas domeenis ja ootasid inimesi, kes üritasid pääseda õigele Celer Bridge’i cbridge-prod2.celer.network lehele.

Kokku võttis pahatahtlik tehing 32 kontolt kokku 234 866,65 dollarit. see kirjutis Coinbase’i ohuluure meeskonnast.

Coinbase TI analüüs

Coinbase’i meeskonnaliikmed selgitasid:

Andmepüügileping sarnaneb väga ametliku Celer Bridge’i lepinguga, jäljendades paljusid selle funktsioone. Kõigi meetodite puhul, mida pole andmepüügilepingus selgesõnaliselt määratletud, rakendab see puhverserveri struktuuri, mis edastab kõned seaduslikule Celer Bridge’i lepingule. Puhverleping on iga ahela jaoks kordumatu ja määratletakse lähtestamise ajal. Allolev käsk illustreerib andmepüügilepingu puhverserveri konfiguratsioonile vastava salvestuskoha sisu:

Andmepüügi nutika lepingu puhverserveri salvestusruum
Suurendage / Andmepüügi nutika lepingu puhverserveri salvestusruum

Coinbase TI analüüs

Andmepüügileping varastab kasutajate raha kahel viisil.

  • Kõik andmepüügiohvrite poolt aktsepteeritud mandaadid loputatakse kohandatud meetodil väärtusega 4 baiti 0x9c307de6()
  • Andmepüügileping läheb mööda järgmistest meetoditest, mille eesmärk on koheselt varastada ohvri mandaat.
  • send()- kasutatakse žetoonide (nt USDC) varastamiseks
  • sendNative() – kasutatakse algvarade (nt ETH) varastamiseks
  • addLiquidity() – kasutatakse žetoonide (nt USDC) varastamiseks
  • addNativeLiquidity() — kasutatakse kohalike fondide (nt ETH) varastamiseks.

Allpool on näide tagastatud koodilõigust, mis suunab ressursid ümber ründaja rahakotti:

Andmepüügi nutika lepingu fragment
Suurendage / Andmepüügi nutika lepingu fragment

Coinbase TI analüüs

Leave a Comment