慢雾:Balancer.fi BGP Hijacking 攻击分析

区块链安全 1年前 (2023) admin
128 0 0

慢雾:Balancer.fi BGP Hijacking 攻击分析


事件背景


2023 年 9 月 20 日,据慢雾区情报,Balancer.fi 遭受 BGP Hijacking 攻击,访问该网站的链接后,钱包会遭受钓鱼攻击。


慢雾:Balancer.fi BGP Hijacking 攻击分析


慢雾安全团队收到安全情报后立即展开分析,根据 CloudFlare 的 BGP Origin Hijack-17957 显示,ASNs 受害者列表中包含 Balancer.fi 所属的 AS13335。目前访问该网站会收到 CloudFlare 的钓鱼安全提醒。


具体分析


1. 查询域名为 Balancer.fi 的 DNS 解析记录(https://bgp.tools/dns/balancer.fi)。A 记录中地址为 104.21.37.47 和 172.67.203.244。这两个 IP 地址的所属 BGP AS 区域号为 AS13335,并且该 AS 属于 CloudFlare。

 

慢雾:Balancer.fi BGP Hijacking 攻击分析


2. 根据 CloudFlare 的记录显示(https://radar.cloudflare.com/routing/anomalies/hijack-17957),AS13335 在 BGP Origin Hijack 攻击的 AS 列表中。

 

慢雾:Balancer.fi BGP Hijacking 攻击分析


3. 发现 Balancer.fi 的 HTTPS 证书被更换为攻击者的证书。


慢雾:Balancer.fi BGP Hijacking 攻击分析


4. 目前访问 https://app.balancer.fi 会收到 CloudFlare 的钓鱼安全提醒。

 

慢雾:Balancer.fi BGP Hijacking 攻击分析


5. 经过分析,发现 app.balancer.fi 的前端存在恶意的 JavaScript 代码(https://app.balancer.fi/js/overchunk.js)。


慢雾:Balancer.fi BGP Hijacking 攻击分析


6. 用户使用钱包连接 app.balancer.fi 站点后,恶意脚本会自动判断连接用户的余额并进行钓鱼攻击。

 

慢雾:Balancer.fi BGP Hijacking 攻击分析


7. 通过对恶意的 JS 文件进行分析,得到以下恶意地址:


0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000

0x645710Af050E26bB96e295bdfB75B4a878088d7E

0x0000626d6DC72989e3809920C67D01a7fe030000


慢雾安全团队提醒用户,目前针对 Balancer 的 BGP 攻击还在持续进行,请暂时停止访问 app.balancer.fi 站点,避免遭受攻击。


解决方案


1. 自建监控,监控用户自用网段的 BGP 变化,进行告警;


2. 使用慢雾 MistEye 系统,提供链上链下安全监测服务,具备前后端、证书等信息的监控能力,可以实现监控网页、JS、证书等信息的变化,发现异常实时告警;


3. 采购成熟产品,如 Akamai。Akamai 有全球 BGP 动态监控大数据服务,客户可以选择监控自用的特定网段的 BGP 变化,以随时跟进安全问题。


总结


经过慢雾安全团队深入地分析,该事件为 BGP Hijacking 攻击导致的安全事件。这是针对 Balancer.fi 进行的一次有目的性的 BGP Hijacking 攻击,攻击者选的攻击时间点、证书伪造、AS 控制等操作一气呵成。


最后需要提醒的是,许多运营商已经很清楚 BGP Hijacking 攻击的风险,并为此做了充分准备。但不少项目方并不是很清楚,特别是对 AS 变化引起的网络路径变化这类风险没有充分的准备和响应措施,所以将来这类攻击可能会重复出现。因此,慢雾安全团队建议项目方、互联网服务提供商和服务器托管商应该认识到这类事件的风险,并协同防御,避免此类事件再次发生。如果你需要协助,可以联系慢雾安全团队。


扩展阅读:

https://blog.cloudflare.com/rpki/

https://medium.com/@slowmist/truth-behind-the-celer-network-cbridge-cross-chain-bridge-incident-bgp-hijacking-52556227e940

https://medium.com/s2wblog/post-mortem-of-klayswap-incident-through-bgp-hijacking-en-3ed7e33de600 


往期回顾

智能合约安全审计入门篇 —— Contract Size Check

一周动态 | Web3 安全事件总损失约 4255.4 万美元

慢雾作为内容贡献者参与的《数字资产安全、合规与风险管理》白皮书已正式发布

哈希函数的隐藏危险:长度扩展攻击与服务端验证的安全隐患

一周动态 | Web3 安全事件总损失约 83 万美元

慢雾:Balancer.fi BGP Hijacking 攻击分析

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

原文始发于微信公众号(慢雾科技):慢雾:Balancer.fi BGP Hijacking 攻击分析

版权声明:admin 发表于 2023年9月20日 下午5:34。
转载请注明:慢雾:Balancer.fi BGP Hijacking 攻击分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...