Como 3 horas de inação da Amazon custam US$ 235.000 aos detentores de criptomoedas

Como 3 horas de inação da Amazon custam US$ 235.000 aos detentores de criptomoedas

A Amazon recentemente perdeu o controle dos endereços IP que usa para hospedar serviços em nuvem e levou mais de três horas para recuperar o controle, um lapso que permitiu que hackers roubassem US$ 235.000 em criptomoedas de usuários de um dos clientes afetados, mostra uma análise.

Os hackers tomaram o controle de aproximadamente 256 endereços IP por meio do sequestro de BGP, uma forma de ataque que explora fraquezas conhecidas em um protocolo central da Internet. Abreviação de protocolo de gateway de fronteira, BGP é uma especificação técnica que as organizações que roteiam o tráfego, conhecidas como redes de sistema autônomo, usam para interoperar com outros ASNs. Apesar de sua função crucial no roteamento de grandes quantidades de dados em todo o mundo em tempo real, o BGP ainda depende amplamente do equivalente do boca a boca da Internet para que as organizações rastreiem quais endereços IP pertencem a quais ASNs.

Um caso de identidade equivocada

No mês passado, o sistema autônomo 209243, que pertence à operadora de rede Quickhost.uk, com sede no Reino Unido, de repente começou a anunciar que sua infraestrutura era o caminho adequado para outros ASNs acessarem o que é conhecido como bloco /24 de endereços IP pertencentes ao AS16509, um dos menos três ASNs operados pela Amazon. O bloco sequestrado incluía 44.235.216.69, um endereço IP que hospeda cbridge-prod2.celer.network, um subdomínio responsável por servir uma interface de usuário de contrato inteligente crítica para a troca de criptomoedas Celer Bridge.

Em 17 de agosto, os invasores usaram o sequestro para obter primeiro um certificado TLS para cbridge-prod2.celer.network, pois conseguiram demonstrar à autoridade de certificação GoGetSSL na Letônia que tinham controle sobre o subdomínio. Com a posse do certificado, os sequestradores hospedavam seu próprio contrato inteligente no mesmo domínio e esperavam visitas de pessoas que tentavam acessar a página real do Celer Bridge cbridge-prod2.celer.network.

Ao todo, o contrato malicioso drenou um total de US$ 234.866,65 de 32 contas, de acordo com este artigo da equipe de inteligência de ameaças da Coinbase.

Análise de TI da Coinbase

Os membros da equipe da Coinbase explicaram:

O contrato de phishing se assemelha ao contrato oficial do Celer Bridge, imitando muitos de seus atributos. Para qualquer método não definido explicitamente no contrato de phishing, ele implementa uma estrutura de proxy que encaminha chamadas para o contrato legítimo do Celer Bridge. O contrato com proxy é exclusivo para cada cadeia e é configurado na inicialização. O comando abaixo ilustra o conteúdo do slot de armazenamento responsável pela configuração do proxy do contrato de phishing:

Armazenamento de proxy de contrato inteligente de phishing
Prolongar / Armazenamento de proxy de contrato inteligente de phishing

Análise de TI da Coinbase

O contrato de phishing rouba os fundos dos usuários usando duas abordagens:

  • Quaisquer tokens aprovados por vítimas de phishing são drenados usando um método personalizado com um valor de 4 bytes 0x9c307de6()
  • O contrato de phishing substitui os seguintes métodos projetados para roubar imediatamente os tokens de uma vítima:
  • send()- usado para roubar tokens (por exemplo, USDC)
  • sendNative() — usado para roubar ativos nativos (por exemplo, ETH)
  • addLiquidity()- usado para roubar tokens (por exemplo, USDC)
  • addNativeLiquidity() — usado para roubar ativos nativos (por exemplo, ETH)

Abaixo está um snippet de engenharia reversa de amostra que redireciona ativos para a carteira do invasor:

Snippet de contrato inteligente de phishing
Prolongar / Snippet de contrato inteligente de phishing

Análise de TI da Coinbase

Leave a Comment