Comment 3 heures d’inactivité d’Amazon coûtent 235 000 $ aux détenteurs de crypto-monnaie

Comment 3 heures d’inactivité d’Amazon coûtent 235 000 $ aux détenteurs de crypto-monnaie

Comment 3 heures d'inactivité d'Amazon coûtent 235 000 $ aux détenteurs de crypto-monnaie

Amazon a récemment perdu le contrôle des adresses IP qu’il utilise pour héberger des services cloud et a mis plus de trois heures à reprendre le contrôle, une erreur qui a permis à des pirates de voler 235 000 dollars en crypto-monnaie aux utilisateurs de l’un des clients concernés, selon une analyse. .

Les pirates ont pris le contrôle d’environ 256 adresses IP via le piratage BGP, une forme d’attaque qui exploite les faiblesses connues d’un protocole Internet de base. Abréviation de protocole de passerelle frontalière, BGP est une spécification technique que les organisations qui acheminent le trafic, appelées réseaux de systèmes autonomes, utilisent pour interagir avec d’autres ASN. Malgré sa fonction cruciale dans le routage de grandes quantités de données à travers le monde en temps réel, BGP s’appuie toujours fortement sur l’équivalent Internet du bouche à oreille pour les organisations afin de savoir quelles adresses IP appartiennent légitimement à quels ASN. .

Un cas de fausse identité

Le mois dernier, le système autonome 209243, qui appartient à l’opérateur de réseau basé au Royaume-Uni Quickhost.uk, a soudainement commencé à annoncer que son infrastructure était le bon chemin pour que d’autres ASN accèdent à ce que l’on appelle un bloc/24 d’adresses IP appartenant à AS16509. , l’un des trois ASN au moins gérés par Amazon. Le bloc piraté comprenait 44.235.216.69, une adresse IP qui hébergeait cbridge-prod2.celer.network, un sous-domaine chargé de servir une interface utilisateur critique pour les contrats intelligents pour l’échange de crypto-monnaie Celer Bridge.

Le 17 août, les attaquants ont utilisé le détournement pour obtenir d’abord un certificat TLS pour cbridge-prod2.celer.network, car ils ont pu prouver à l’autorité de certification GoGetSSL en Lettonie qu’ils contrôlaient le sous-domaine. En possession du certificat, les pirates de l’air ont ensuite hébergé leur contrat intelligent sur le même domaine et ont attendu la visite de personnes tentant d’accéder à la véritable page cbridge-prod2.celer.network de Celer Bridge.

Au total, le contrat malveillant a drainé un total de 234 866,65 dollars de 32 comptes, selon cet article de l’équipe de renseignement sur les menaces de Coinbase.

Analyse TI Coinbase

Les membres de l’équipe Coinbase ont expliqué:

Le contrat de phishing ressemble étroitement au contrat officiel de Celer Bridge en imitant bon nombre de ses attributs. Pour toute méthode non explicitement définie dans le contrat d’hameçonnage, implémentez une structure de proxy qui transfère les appels au contrat Celer Bridge légitime. Le contrat de proxy est unique pour chaque chaîne et est configuré à l’initialisation. La commande suivante illustre le contenu de l’emplacement de stockage responsable de la configuration du proxy d’accord de phishing :

Stockage proxy pour les contrats intelligents de phishing
Agrandir / Stockage proxy pour les contrats intelligents de phishing

Analyse TI Coinbase

Le contrat de phishing vole les fonds des utilisateurs en utilisant deux approches :

  • Tous les jetons approuvés par les victimes de phishing sont vidés à l’aide d’une méthode personnalisée avec une valeur de 4 octets 0x9c307de6 ()
  • Le contrat de phishing prime sur les méthodes suivantes destinées à dérober immédiatement les tokens d’une victime :
  • send () – utilisé pour voler des jetons (par exemple, USDC)
  • sendNative () – utilisé pour voler des actifs natifs (par exemple, ETH)
  • addLiquidity () – utilisé pour voler des jetons (par exemple USDC)
  • addNativeLiquidity () – utilisé pour voler des actifs natifs (par exemple, ETH)

Vous trouverez ci-dessous un exemple d’extrait décodé qui redirige les actifs vers le portefeuille de l’attaquant :

Fragment de contrat de phishing intelligent
Agrandir / Fragment de contrat de phishing intelligent

Analyse TI Coinbase

Leave a Reply

Your email address will not be published.