كيف يمكن أن تكلف 3 ساعات من التقاعس عن العمل من أمازون أصحاب العملات المشفرة 235 ألف دولار

كيف يمكن أن تكلف 3 ساعات من التقاعس عن العمل من أمازون أصحاب العملات المشفرة 235 ألف دولار

فقدت أمازون مؤخرًا السيطرة على عناوين IP التي يستخدمونها لاستضافة خدماتهم السحابية ، واستغرق الأمر أكثر من ثلاث ساعات لاستعادة السيطرة. يُظهر التحليل أن هذا سمح للمتسللين بسرقة 235 ألف دولار من العملة المشفرة من مستخدم واحد للعميل المتأثر.

استولى المتسللون على ما يقرب من 256 عنوان IP من خلال BGP hijacking ، وهو نوع من الهجمات التي تستغل نقاط الضعف المعروفة في بروتوكولات الإنترنت الأساسية. BGP ، التي تعني بروتوكول بوابة الحدود ، هي مواصفات فنية تستخدمها المنظمات التي توجه حركة المرور تسمى شبكات النظام المستقل للتفاعل مع شبكات ASN الأخرى. على الرغم من قدرتها المهمة على توجيه كميات هائلة من البيانات حول العالم في الوقت الفعلي ، لا تزال المؤسسات تستخدم BGP لتتبع عناوين IP التي تنتمي إليها بشكل شرعي.

قضية هوية خاطئة

في الشهر الماضي ، اكتشف النظام المستقل 209243 ، الذي ينتمي إلى مشغل الشبكة Quickhost.uk ومقره المملكة المتحدة ، فجأة أن بنيته التحتية لم تكن مناسبة لشبكات ASN الأخرى للوصول إلى ما يُعرف باسم كتلة / 24 من عناوين IP التي تنتمي إلى AS16509. أعلن أنه طريق جيد. تدير أمازون ثلاث شبكات ASN على الأقل. احتوت الكتلة المختطفة على 44.235.216.69 ، عنوان IP الذي يستضيف cbridge-prod2.celer.network. هذا النطاق الفرعي مسؤول عن توفير واجهة مستخدم العقد الذكية الأساسية لتبادل العملات المشفرة من Celer Bridge.

في 17 أغسطس ، حصل المهاجمون لأول مرة على شهادة TLS لـ cbridge-prod2.celer.network باستخدام الاختطاف. هذا لأننا تمكنا من أن نثبت لسلطة الشهادات في لاتفيا GoGetSSL أننا نتحكم في النطاق الفرعي. بعد الحصول على الشهادة ، استضاف الخاطف عقده الذكي الخاص على نفس المجال وانتظر زيارات من الأشخاص الذين يحاولون الوصول إلى صفحة cbridge-prod2.celer.network الفعلية لـ Celer Bridge.

وفقًا لهذا المقال الذي أعده فريق Threat Intelligence التابع لـ Coinbase ، فإن هذا العقد الضار قد تم إخراج ما مجموعه 234،866.65 دولارًا أمريكيًا من 32 حسابًا.

تحليل Coinbase TI

يوضح أحد أعضاء فريق Coinbase:

يشبه عقد التصيد إلى حد كبير عقد Celer Bridge الرسمي من خلال محاكاة العديد من سماته. بالنسبة للطرق غير المحددة صراحةً في عقد التصيد الاحتيالي ، قم بتنفيذ هيكل وكيل يقوم بإعادة توجيه المكالمات إلى عقد Celer Bridge الشرعي. تعتبر العقود الممنوحة فريدة لكل سلسلة ويتم تكوينها أثناء التهيئة. يعرض الأمر التالي محتويات فتحة التخزين المسؤولة عن تكوين وكيل عقد التصيد الاحتيالي.

تخزين وكيل العقد الذكي للتصيد الاحتيالي
يتسع / تخزين وكيل العقد الذكي للتصيد الاحتيالي

تحليل Coinbase TI

تستخدم عقود التصيد طريقتين لسرقة أموال المستخدمين:

  • يتم طرد الرموز التي وافق عليها ضحايا التصيد باستخدام طريقة مخصصة بقيمة 4 بايت 0x9c307de6 ().
  • يلغي عقد التصيد الاحتيالي الطرق التالية المصممة لسرقة رمز الضحية بسرعة.
  • send () – تُستخدم لسرقة الرموز (مثل USDC)
  • sendNative () – تُستخدم لسرقة الأصول الأصلية (مثل ETH)
  • addL Liquidity () – تُستخدم لسرقة الرموز (مثل USDC)
  • addNativeL Liquidity () – تُستخدم لسرقة الأصول المحلية (مثل ETH)

يوجد أدناه مقتطف من نموذج هندسي عكسي يعيد توجيه الأصول إلى محفظة المهاجم.

مقتطف العقد الذكي للتصيد الاحتيالي
يتسع / مقتطف العقد الذكي للتصيد الاحتيالي

تحليل Coinbase TI