Amazon’dan 3 saatlik hareketsizlik, kripto para birimi sahiplerine 235.000 dolara nasıl mal oluyor?


Amazon'dan 3 saatlik hareketsizlik, kripto para birimi sahiplerine 235.000 dolara nasıl mal oluyor?

Bir analiz, Amazon’un kısa süre önce bulut hizmetlerini barındırmak için kullandığı IP adreslerinin kontrolünü kaybettiğini ve kontrolü yeniden ele geçirmesi üç saatten fazla sürdüğünü gösteriyor.

Bilgisayar korsanları, temel bir İnternet protokolündeki bilinen zayıflıklardan yararlanan bir saldırı türü olan BGP ele geçirme yoluyla kabaca 256 IP adresinin kontrolünü ele geçirdi. Sınır ağ geçidi protokolünün kısaltması olan BGP, otonom sistem ağları olarak bilinen trafiği yönlendiren kuruluşların diğer ASN’lerle birlikte çalışmak için kullandığı teknik bir özelliktir. BGP, gerçek zamanlı olarak dünya çapında toptan miktarda veriyi yönlendirmedeki hayati işlevine rağmen, kuruluşların hangi IP adreslerinin hangi ASN’lere ait olduğunu takip etmeleri için hala büyük ölçüde İnternet’teki ağızdan ağza eşdeğerine güveniyor.

Yanlış kimlik vakası

Geçen ay, İngiltere merkezli ağ operatörüne ait otonom sistem 209243 Quickhost.uk, aniden altyapısının diğer ASN’lerin Amazon tarafından işletilen en az üç ASN’den biri olan AS16509’a ait /24 blok IP adresi olarak bilinen şeye erişmesi için uygun yol olduğunu duyurmaya başladı. Ele geçirilen blok, Celer Bridge kripto para birimi değişimi için kritik bir akıllı sözleşme kullanıcı arayüzü sunmaktan sorumlu bir alt alan olan cbridge-prod2.celer.network’ü barındıran bir IP adresi olan 44.235.216.69’u içeriyordu.

17 Ağustos’ta saldırganlar, Letonya’daki GoGetSSL sertifika yetkilisine alt alan adı üzerinde kontrole sahip olduklarını gösterebildikleri için, ilk olarak cbridge-prod2.celer.network için bir TLS sertifikası almak için ele geçirmeyi kullandılar. Sertifikaya sahip olan korsanlar daha sonra aynı etki alanında kendi akıllı sözleşmelerini barındırdılar ve gerçek Celer Bridge cbridge-prod2.celer.network sayfasına erişmeye çalışan kişilerin ziyaretlerini beklediler.

Toplamda, kötü niyetli sözleşme 32 hesaptan toplam 234.866,65 dolar tüketti. bu yazı Coinbase’in tehdit istihbarat ekibinden.

Coinbase TI analizi

Coinbase ekip üyeleri açıkladı:

Kimlik avı sözleşmesi, birçok özelliğini taklit ederek resmi Celer Bridge sözleşmesine çok benzer. Kimlik avı sözleşmesinde açıkça tanımlanmayan herhangi bir yöntem için, çağrıları meşru Celer Bridge sözleşmesine ileten bir proxy yapısı uygular. Proxy sözleşmesi, her zincir için benzersizdir ve başlatma sırasında yapılandırılır. Aşağıdaki komut, kimlik avı sözleşmesinin proxy yapılandırmasından sorumlu depolama yuvasının içeriğini gösterir:

Kimlik avı akıllı sözleşme proxy depolama
büyüt / Kimlik avı akıllı sözleşme proxy depolama

Coinbase TI analizi

Kimlik avı sözleşmesi, iki yaklaşım kullanarak kullanıcıların fonlarını çalar:

  • Kimlik avı kurbanları tarafından onaylanan tüm belirteçler, 0x9c307de6() 4 bayt değerine sahip özel bir yöntem kullanılarak boşaltılır.
  • Kimlik avı sözleşmesi, bir kurbanın belirteçlerini hemen çalmak için tasarlanmış aşağıdaki yöntemleri geçersiz kılar:
  • send()- jetonları çalmak için kullanılır (örneğin USDC)
  • sendNative() — yerel varlıkları (örneğin ETH) çalmak için kullanılır
  • addLiquidity()- jetonları çalmak için kullanılır (örn. USDC)
  • addNativeLiquidity() — yerel varlıkları (örneğin ETH) çalmak için kullanılır

Aşağıda, varlıkları saldırgan cüzdanına yönlendiren bir tersine mühendislik örneği verilmiştir:

Kimlik avı akıllı sözleşme snippet'i
büyüt / Kimlik avı akıllı sözleşme snippet’i

Coinbase TI analizi


Kaynak : https://arstechnica.com/?p=1884070

Yorum yapın