Cómo 3 horas de inactividad cuestan $ 235,000 a los titulares de criptomonedas de Amazon

Amazon perdió recientemente el control de las direcciones IP que utiliza para alojar servicios en la nube y tardó más de tres horas en recuperar el control, una falla que permitió a los piratas informáticos robar $ 235,000 en criptomonedas de los usuarios que robaron a uno de los clientes afectados, como muestra un análisis.

Los piratas informáticos tomaron el control de aproximadamente 256 direcciones IP mediante el secuestro de BGP, una forma de ataque que aprovecha vulnerabilidades conocidas en un protocolo central de Internet. BGP, abreviatura de Border Gateway Protocol, es una especificación técnica que las organizaciones que reenvían tráfico, conocidas como redes de sistemas autónomos, utilizan para interoperar con otros ASN. A pesar de su papel crítico en el enrutamiento de grandes cantidades de datos en todo el mundo en tiempo real, BGP aún depende en gran medida del equivalente de Internet de boca en boca para permitir que las organizaciones rastreen qué direcciones IP pertenecen legítimamente a qué ASN.

Un caso de identidad equivocada

El mes pasado, el sistema autónomo 209243, propiedad del operador de red británico Quickhost.uk, de repente comenzó a proclamar que su infraestructura era la forma correcta para que otros ASN accedieran al llamado bloque /24 de direcciones IP pertenecientes a AS16509, uno de al menos tres notificaciones de envío operadas por Amazon. El bloque secuestrado contenía 44.235.216.69, una dirección IP que representa a cbridge-prod2.celer.nethosting, un subdominio responsable de proporcionar una IU de contrato inteligente crítica para el intercambio de criptomonedas Celer Bridge.

El 17 de agosto, los atacantes utilizaron el secuestro para obtener primero un certificado TLS para cbridge-prod2.celer.net porque podían demostrarle a la autoridad de certificación GoGetSSL en Letonia que controlaban el subdominio. Con la posesión del certificado, los secuestradores alojaron su propio contrato inteligente en el mismo dominio y esperaban visitas de personas que intentaban acceder a la página cbridge-prod2.celer.network genuina de Celer Bridge.

En total, el contrato malicioso drenó un total de $234,866.65 de 32 cuentas, según este informe del equipo de Inteligencia de Amenazas de Coinbase.

Análisis de Coinbase TI

Los miembros del equipo de Coinbase explicaron:

El contrato de phishing se parece mucho al contrato oficial de Celer Bridge, imitando muchas de sus características. Para todos los métodos no definidos explícitamente en el contrato de phishing, implementa una estructura de proxy que reenvía las llamadas al contrato legítimo de Celer Bridge. El contrato de proxy es único para cada cadena y se configura en la inicialización. El siguiente comando ilustra el contenido de la ranura de memoria responsable de la configuración del proxy del contrato de phishing:

Tienda de proxy de contrato inteligente de phishing
Agrandar / Tienda de proxy de contrato inteligente de phishing

Análisis de Coinbase TI

El contrato de phishing roba los fondos de los usuarios utilizando dos enfoques:

  • Todos los tokens aprobados por las víctimas de phishing se eliminan mediante un método personalizado con un valor de 4 bytes 0x9c307de6().
  • El contrato de phishing anula los siguientes métodos diseñados para robar instantáneamente los tokens de una víctima:
  • enviar () – utilizado para robar tokens (por ejemplo, USDC)
  • sendNative(): se usa para robar activos nativos (por ejemplo, ETH)
  • addLiquidity() – utilizado para robar tokens (por ejemplo, USDC)
  • addNativeLiquidity(): se usa para robar activos nativos (por ejemplo, ETH)

A continuación se muestra un ejemplo de un fragmento de ingeniería inversa que redirige los activos a la billetera del atacante:

Fragmento de contrato inteligente de phishing
Agrandar / Fragmento de contrato inteligente de phishing

Análisis de Coinbase TI

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí