Wie 3 Stunden Untätigkeit von Amazon Krypto-Inhaber 235.000 $ kosten

Amazon verlor kürzlich die Kontrolle über die IP-Adressen, die es zum Hosten seiner Cloud-Dienste verwendet, und brauchte mehr als drei Stunden, um die Kontrolle wiederzuerlangen, ein Fehler, der es Hackern laut einer Analyse ermöglichte, Kryptowährungen im Wert von 235.000 US-Dollar von Benutzern eines der betroffenen Kunden zu stehlen.

Hacker übernahmen die Kontrolle über etwa 256 IP-Adressen mithilfe von BGP-Hijacking, einer Angriffsform, die bekannte Schwachstellen in einem zentralen Internetprotokoll ausnutzt. BGP, kurz für Border Gateway Protocol, ist eine technische Spezifikation, die Verkehrsrouting-Organisationen, bekannt als Autonomous Systems Networks, verwenden, um mit anderen ASNs zusammenzuarbeiten. Trotz seiner entscheidenden Rolle bei der Weiterleitung von großen Datenmengen in Echtzeit rund um die Welt verlässt sich BGP immer noch stark auf das Äquivalent zur Mundpropaganda im Internet, damit Unternehmen nachverfolgen können, welche IP-Adressen rechtmäßig zu welchen ASNs gehören .

Ein Fall von Identitätsverwechslung

Letzten Monat das Stand-Alone-System 209243, das dem britischen Netzbetreiber gehört Quickhost.uk, begann plötzlich zu verkünden, dass seine Infrastruktur der richtige Weg für andere ASNs sei, um auf den sogenannten /24-Block von IP-Adressen zuzugreifen, der zu AS16509 gehört, einem von mindestens drei von Amazon betriebenen ASNs. Der gekaperte Block enthielt 44.235.216.69, eine IP-Adresse, die cbridge-prod2.celer.network hostet, eine Subdomain, die für die Bereitstellung einer kritischen Smart-Contract-Benutzeroberfläche für den Kryptowährungsaustausch Celer Bridge verantwortlich ist.

Am 17. August nutzten die Angreifer den Hijack, um zunächst ein TLS-Zertifikat für cbridge-prod2.celer.net zu erhalten, da sie der GoGetSSL-Zertifizierungsstelle in Lettland nachweisen konnten, dass sie die Kontrolle über die Subdomain hatten. Im Besitz des Zertifikats hosteten die Entführer ihren eigenen Smart Contract auf derselben Domain und warteten auf Besuche von Personen, die versuchten, auf die echte Seite cbridge-prod2.celer.network von Celer Bridge zuzugreifen.

Insgesamt hat der böswillige Vertrag laut Angaben von 32 Konten insgesamt 234.866,65 US-Dollar abgezogen dieses Schreiben vom Threat Intelligence Team von Coinbase.

Coinbase IT-Analyse

Coinbase-Teammitglieder erklärten:

Der Fischereivertrag ähnelt stark dem offiziellen Celer Bridge-Vertrag und ahmt viele seiner Eigenschaften nach. Für jede Methode, die nicht explizit im Fischereivertrag definiert ist, implementiert es eine Proxy-Struktur, die Aufrufe an den legitimen Vertrag der Celer Bridge weiterleitet. Der Proxy-Vertrag ist für jede Kette eindeutig und wird bei der Initialisierung konfiguriert. Der folgende Befehl veranschaulicht den Inhalt des Speicherslots, der für die Konfiguration des Angelvertragsproxys verantwortlich ist:

Fishing Smart Contract Proxy-Speicher
Hineinzoomen / Fishing Smart Contract Proxy-Speicher

Coinbase IT-Analyse

Der Fischereivertrag stiehlt die Gelder der Benutzer durch zwei Ansätze:

  • Alle Token, die von Phishing-Opfern weitergegeben werden, werden mithilfe einer benutzerdefinierten Methode mit einem 4-Byte-Wert von 0x9c307de6() erschöpft.
  • Der Fischereivertrag hebt die folgenden Methoden auf, die darauf abzielen, die Token eines Opfers sofort zu stehlen:
  • send() – wird verwendet, um Token zu stehlen (z. B. USDC)
  • sendNative() — wird verwendet, um native Assets zu stehlen (z. B. ETH)
  • addLiquidity() – wird verwendet, um Token zu stehlen (z. B. USDC)
  • addNativeLiquidity() — wird verwendet, um native Vermögenswerte zu stehlen (z. B. ETH)

Unten ist ein Beispiel für ein Reverse-Engineering-Snippet, das Assets in die Brieftasche des Angreifers umleitet:

Intelligentes Vertragsfragment fischen
Hineinzoomen / Intelligentes Vertragsfragment fischen

Coinbase IT-Analyse

Leave a Comment