nouvelles (1)

Newsletter

Comment 3 heures d’inaction d’Amazon ont coûté 235 000 $ aux détenteurs de crypto-monnaie

Amazon a récemment perdu le contrôle des adresses IP qu’il utilise pour héberger les services cloud et a mis plus de trois heures à reprendre le contrôle, un laps de temps qui a permis aux pirates de voler 235 000 $ en crypto-monnaie aux utilisateurs de l’un des clients concernés, selon une analyse.

Les pirates ont pris le contrôle d’environ 256 adresses IP via le détournement BGP, une forme d’attaque qui exploite les faiblesses connues d’un protocole Internet de base. Abréviation de protocole de passerelle frontalière, BGP est une spécification technique que les organisations qui acheminent le trafic, appelées réseaux de systèmes autonomes, utilisent pour interagir avec d’autres ASN. Malgré sa fonction cruciale dans l’acheminement en temps réel de gros volumes de données à travers le monde, BGP s’appuie encore largement sur l’équivalent Internet du bouche à oreille pour que les organisations puissent savoir quelles adresses IP appartiennent légitimement à quels ASN.

Un cas d’erreur d’identité

Le mois dernier, le système autonome 209243, qui appartient à l’opérateur de réseau basé au Royaume-Uni Quickhost.fr, a soudainement commencé à annoncer que son infrastructure était le bon chemin pour que d’autres ASN accèdent à ce qu’on appelle un bloc /24 d’adresses IP appartenant à AS16509, l’un des trois ASN au moins exploités par Amazon. Le bloc piraté comprenait 44.235.216.69, une adresse IP hébergeant cbridge-prod2.celer.network, un sous-domaine chargé de servir une interface utilisateur de contrat intelligent critique pour l’échange de crypto-monnaie Celer Bridge.

Le 17 août, les attaquants ont utilisé le détournement pour obtenir d’abord un certificat TLS pour cbridge-prod2.celer.network, car ils ont pu démontrer à l’autorité de certification GoGetSSL en Lettonie qu’ils contrôlaient le sous-domaine. En possession du certificat, les pirates de l’air ont ensuite hébergé leur propre contrat intelligent sur le même domaine et ont attendu les visites de personnes essayant d’accéder à la véritable page Celer Bridge cbridge-prod2.celer.network.

Au total, le contrat malveillant a drainé un total de 234 866,65 $ de 32 comptes, selon cette rédaction de l’équipe de renseignements sur les menaces de Coinbase.

Analyse TI Coinbase

Les membres de l’équipe Coinbase ont expliqué :

Le contrat de phishing ressemble étroitement au contrat officiel Celer Bridge en imitant plusieurs de ses attributs. Pour toute méthode non explicitement définie dans le contrat de phishing, il implémente une structure de proxy qui transmet les appels au contrat Celer Bridge légitime. Le contrat proxy est unique à chaque chaîne et est configuré à l’initialisation. La commande ci-dessous illustre le contenu de l’emplacement de stockage responsable de la configuration du proxy du contrat de phishing :

Stockage de proxy de contrat intelligent d'hameçonnage
Agrandir / Stockage de proxy de contrat intelligent d’hameçonnage

Analyse TI Coinbase

Le contrat de phishing vole les fonds des utilisateurs en utilisant deux approches :

  • Tous les jetons approuvés par les victimes de phishing sont drainés à l’aide d’une méthode personnalisée avec une valeur de 4 octets 0x9c307de6()
  • Le contrat de phishing annule les méthodes suivantes conçues pour voler immédiatement les jetons d’une victime :
  • send()- utilisé pour voler des jetons (par exemple USDC)
  • sendNative () – utilisé pour voler des actifs natifs (par exemple, ETH)
  • addLiquidity() – utilisé pour voler des jetons (par exemple USDC)
  • addNativeLiquidity () – utilisé pour voler des actifs natifs (par exemple ETH)

Vous trouverez ci-dessous un exemple d’extrait de code rétro-conçu qui redirige les actifs vers le portefeuille de l’attaquant :

Extrait de contrat intelligent d'hameçonnage
Agrandir / Extrait de contrat intelligent d’hameçonnage

Analyse TI Coinbase

Facebook
Twitter
LinkedIn
Pinterest

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT