Amazon perdió recientemente el control de las direcciones IP que utiliza para alojar servicios en la nube y tardó más de tres horas en recuperar el control, un período de tiempo que permitió a los piratas informáticos robar USD 235 000 en criptomonedas de los usuarios de uno de los clientes afectados, según un análisis.
Los piratas informáticos tomaron el control de aproximadamente 256 direcciones IP mediante el secuestro de BGP, una forma de ataque que explota las debilidades conocidas en un protocolo central de Internet. Abreviatura de Border Gateway Protocol, BGP es una especificación técnica que las organizaciones de transporte de tráfico, conocidas como redes de sistemas autónomos, utilizan para interactuar con otros ASN. A pesar de su función crucial en el movimiento de grandes volúmenes de datos alrededor del mundo en tiempo real, BGP aún depende en gran medida del equivalente de Internet del boca a boca para que las organizaciones sepan qué direcciones IP pertenecen legítimamente a qué ASN.
Un caso de identidad equivocada
El mes pasado, el sistema independiente 209243, propiedad del operador de red con sede en el Reino Unido Quickhost.es, de repente comenzó a anunciar que su infraestructura era el camino correcto para que otros ASN accedieran a lo que se llama un bloque /24 de direcciones IP propiedad de AS16509, uno de al menos tres ASN operados por Amazon. El bloque pirateado incluía 44.235.216.69, una dirección IP que albergaba cbridge-prod2.celer.network, un subdominio responsable de servir una interfaz de usuario de contrato inteligente crítica para el intercambio de criptomonedas Celer Bridge.
El 17 de agosto, los atacantes utilizaron el secuestro para obtener primero un certificado TLS para cbridge-prod2.celer.network, ya que pudieron demostrar a la autoridad certificadora GoGetSSL en Letonia que controlaban el subdominio. En posesión del certificado, los secuestradores alojaron su propio contrato inteligente en el mismo dominio y esperaron las visitas de personas que intentaban acceder a la página real de Celer Bridge cbridge-prod2.celer.network.
En total, el contrato malicioso drenó un total de $234,866.65 de 32 cuentas, según este escrito del equipo de inteligencia de amenazas de Coinbase.
Los miembros del equipo de Coinbase explicaron:
El contrato de phishing se parece mucho al contrato oficial de Celer Bridge al imitar muchos de sus atributos. Para cualquier método no definido explícitamente en el contrato de phishing, implementa una estructura de proxy que reenvía las llamadas al contrato legítimo de Celer Bridge. El contrato de proxy es único para cada cadena y se configura durante la inicialización. El siguiente comando ilustra el contenido de la ubicación de almacenamiento responsable de configurar el proxy de contrato de phishing:
El contrato de phishing roba los fondos de los usuarios utilizando dos enfoques:
- Todos los tokens en los que confían las víctimas de phishing se vacían mediante un método personalizado con un valor de 4 bytes 0x9c307de6()
- El contrato de phishing anula los siguientes métodos diseñados para robar inmediatamente los tokens de una víctima:
- send() – utilizado para robar tokens (por ejemplo, USDC)
- sendNative() – utilizado para robar activos nativos (por ejemplo, ETH)
- addLiquidity() – utilizado para robar tokens (por ejemplo, USDC)
- addNativeLiquidity() – utilizado para robar activos nativos (por ejemplo, ETH)
A continuación se muestra un ejemplo de un fragmento de código de ingeniería inversa que redirige los activos a la billetera del atacante: