Cómo 3 horas de inacción de Amazon cuestan a los titulares de criptomonedas $ 235,000


Amazon perdió recientemente el control de las direcciones IP que utiliza para alojar servicios en la nube y tardó más de tres horas en recuperar el control, un lapso que permitió a los piratas informáticos robar USD 235 000 en criptomonedas de los usuarios de uno de los clientes afectados, según muestra un análisis.

Los piratas informáticos tomaron el control de aproximadamente 256 direcciones IP mediante el secuestro de BGP, una forma de ataque que explota las debilidades conocidas en un protocolo central de Internet. Abreviatura de border gateway protocol, BGP es una especificación técnica que las organizaciones que enrutan el tráfico, conocidas como redes de sistemas autónomos, utilizan para interoperar con otros ASN. A pesar de su función crucial en el enrutamiento de grandes cantidades de datos en todo el mundo en tiempo real, BGP aún depende en gran medida del equivalente de Internet del boca a boca para que las organizaciones rastreen qué direcciones IP pertenecen legítimamente a qué ASN.

Un caso de identidad equivocada

El mes pasado, el sistema autónomo 209243, que pertenece al operador de red con sede en el Reino Unido Quickhost.uk, de repente comenzó a anunciar que su infraestructura era la ruta adecuada para que otros ASN accedieran a lo que se conoce como un bloque /24 de direcciones IP pertenecientes a AS16509, uno de al menos menos tres ASN operados por Amazon. El bloque secuestrado incluía 44.235.216.69, una dirección IP que albergaba cbridge-prod2.celer.network, un subdominio responsable de servir una interfaz de usuario de contrato inteligente crítica para el intercambio de criptomonedas Celer Bridge.

El 17 de agosto, los atacantes utilizaron el secuestro para obtener primero un certificado TLS para cbridge-prod2.celer.network, ya que pudieron demostrar a la autoridad certificadora GoGetSSL en Letonia que tenían control sobre el subdominio. Con la posesión del certificado, los secuestradores alojaron su propio contrato inteligente en el mismo dominio y esperaron las visitas de personas que intentaban acceder a la página real de Celer Bridge cbridge-prod2.celer.network.

En total, el contrato malicioso drenó un total de $234,866.65 de 32 cuentas, según este artículo del equipo de inteligencia de amenazas de Coinbase.

Análisis de Coinbase TI

Los miembros del equipo de Coinbase explicaron:

El contrato de phishing se parece mucho al contrato oficial de Celer Bridge al imitar muchos de sus atributos. Para cualquier método no definido explícitamente en el contrato de phishing, implementa una estructura de proxy que reenvía las llamadas al contrato legítimo de Celer Bridge. El contrato de proxy es único para cada cadena y se configura en la inicialización. El siguiente comando ilustra el contenido de la ranura de almacenamiento responsable de la configuración del proxy del contrato de phishing:

Almacenamiento de proxy de contrato inteligente de phishing
Agrandar / Almacenamiento de proxy de contrato inteligente de phishing

Análisis de Coinbase TI

El contrato de phishing roba los fondos de los usuarios utilizando dos enfoques:

  • Todos los tokens aprobados por las víctimas de phishing se drenan mediante un método personalizado con un valor de 4 bytes 0x9c307de6()
  • El contrato de phishing anula los siguientes métodos diseñados para robar inmediatamente los tokens de una víctima:
  • enviar () – utilizado para robar tokens (por ejemplo, USDC)
  • sendNative(): se usa para robar activos nativos (por ejemplo, ETH)
  • addLiquidity () – utilizado para robar tokens (por ejemplo, USDC)
  • addNativeLiquidity(): se usa para robar activos nativos (por ejemplo, ETH)

A continuación se muestra un fragmento de ingeniería inversa de muestra que redirige los activos a la billetera del atacante:

Fragmento de contrato inteligente de phishing
Agrandar / Fragmento de contrato inteligente de phishing

Análisis de Coinbase TI