การไม่ทำอะไรเลย 3 ชั่วโมงจาก Amazon ทำให้ผู้ถือสกุลเงินดิจิทัลต้องเสียค่าใช้จ่าย $235,000

การวิเคราะห์แสดงให้เห็นเมื่อเร็ว ๆ นี้ Amazon สูญเสียการควบคุมที่อยู่ IP ที่ใช้ในการโฮสต์บริการคลาวด์และใช้เวลามากกว่าสามชั่วโมงในการควบคุมอีกครั้ง ซึ่งเป็นช่วงที่แฮ็กเกอร์สามารถขโมยเงินจำนวน 235,000 ดอลลาร์ในสกุลเงินดิจิทัลจากผู้ใช้ของลูกค้ารายหนึ่งที่ได้รับผลกระทบ

แฮกเกอร์เข้าควบคุมที่อยู่ IP ประมาณ 256 รายการผ่านการจี้ BGP ซึ่งเป็นรูปแบบหนึ่งของการโจมตีที่หาประโยชน์จากจุดอ่อนที่ทราบในโปรโตคอลอินเทอร์เน็ตหลัก BGP ย่อมาจาก border gateway protocol เป็นข้อกำหนดทางเทคนิคที่องค์กรที่กำหนดเส้นทางการรับส่งข้อมูล หรือที่เรียกว่าเครือข่ายระบบอัตโนมัติ ใช้เพื่อทำงานร่วมกับ ASN อื่นๆ แม้จะมีหน้าที่สำคัญในการกำหนดเส้นทางข้อมูลปริมาณขายส่งทั่วโลกแบบเรียลไทม์ แต่ BGP ยังคงอาศัยการบอกต่อทางอินเทอร์เน็ตเป็นหลักสำหรับองค์กรในการติดตามว่าที่อยู่ IP ใดเป็นของ ASN ที่ถูกต้อง

กรณีระบุตัวตนผิดพลาด

เมื่อเดือนที่แล้ว ระบบอัตโนมัติ 209243 ซึ่งเป็นของผู้ให้บริการเครือข่าย Quickhost.uk ในสหราชอาณาจักร เริ่มประกาศโครงสร้างพื้นฐานเป็นเส้นทางที่เหมาะสมสำหรับ ASN อื่นๆ ในการเข้าถึงสิ่งที่เรียกว่า /24 บล็อกของที่อยู่ IP ที่เป็นของ AS16509 หนึ่งในนั้น ASN อย่างน้อย 3 รายการที่ดำเนินการโดย Amazon บล็อกที่ถูกแย่งชิงรวมถึง 44.235.216.69 ซึ่งเป็นที่อยู่ IP ที่โฮสต์ cbridge-prod2.celer.network ซึ่งเป็นโดเมนย่อยที่รับผิดชอบในการให้บริการอินเทอร์เฟซผู้ใช้สัญญาอัจฉริยะที่สำคัญสำหรับการแลกเปลี่ยนสกุลเงินดิจิตอล Celer Bridge

เมื่อวันที่ 17 สิงหาคม ผู้โจมตีใช้การจี้เพื่อขอรับใบรับรอง TLS สำหรับ cbridge-prod2.celer.network ก่อน เนื่องจากพวกเขาสามารถแสดงให้ผู้ออกใบรับรอง GoGetSSL ในลัตเวียทราบว่าพวกเขาควบคุมโดเมนย่อยได้ ด้วยการครอบครองใบรับรอง ผู้จี้เครื่องบินจึงโฮสต์สัญญาอัจฉริยะของตนเองในโดเมนเดียวกันและรอการเข้าชมจากผู้ที่พยายามเข้าถึงหน้า Celer Bridge cbridge-prod2.celer.network จริง

โดยรวมแล้ว สัญญาที่เป็นอันตรายได้ระบายมูลค่ารวม $234,866.65 จาก 32 บัญชี ตามรายงานจากทีมข่าวกรองด้านภัยคุกคามจาก Coinbase

สมาชิกทีม Coinbase อธิบายว่า:

สัญญาฟิชชิ่งมีความคล้ายคลึงกับสัญญา Celer Bridge อย่างเป็นทางการโดยเลียนแบบคุณลักษณะหลายอย่าง สำหรับวิธีการใดๆ ที่ไม่ได้กำหนดไว้อย่างชัดเจนในสัญญาฟิชชิ่ง จะใช้โครงสร้างพร็อกซีที่ส่งต่อการเรียกไปยังสัญญา Celer Bridge ที่ถูกต้องตามกฎหมาย สัญญาพร็อกซีนั้นไม่ซ้ำกันสำหรับแต่ละเชนและกำหนดค่าเมื่อเริ่มต้น คำสั่งด้านล่างแสดงเนื้อหาของช่องเก็บข้อมูลที่รับผิดชอบการกำหนดค่าพร็อกซีของสัญญาฟิชชิ่ง:

สัญญาฟิชชิ่งขโมยเงินของผู้ใช้โดยใช้สองวิธี:

• โทเค็นใด ๆ ที่ได้รับการอนุมัติจากเหยื่อฟิชชิ่งจะถูกระบายโดยใช้วิธีการที่กำหนดเองโดยมีค่า 4byte 0x9c307de6()
• สัญญาฟิชชิ่งแทนที่วิธีการต่อไปนี้ที่ออกแบบมาเพื่อขโมยโทเค็นของเหยื่อทันที:
• send()- ใช้เพื่อขโมยโทเค็น (เช่น USDC)
• sendNative() — ใช้เพื่อขโมยทรัพย์สินดั้งเดิม (เช่น ETH)
• addLiquidity()- ใช้เพื่อขโมยโทเค็น (เช่น USDC)
• addNativeLiquidity() — ใช้เพื่อขโมยทรัพย์สินดั้งเดิม (เช่น ETH)

ด้านล่างนี้เป็นตัวอย่างข้อมูลโค้ดแบบย้อนกลับซึ่งเปลี่ยนเส้นทางสินทรัพย์ไปยังกระเป๋าเงินของผู้โจมตี: