Balancer.fi BGP Hijacking攻击分析

事情背景

2023 年 9 月 20 日，据慢雾区情报，Balancer.fi 遭受 BGP Hijacking 进犯，拜访该网站的链接后，钱包会遭受垂钓进犯。

慢雾安全团队收到安全情报后当即打开剖析，依据 CloudFlare 的 BGP Origin Hijack-17957 显现，ASNs 受害者列表中包括 Balancer.fi 所属的 AS13335。现在拜访该网站会收到 CloudFlare 的垂钓安全提示。

具体剖析

1. 查询域名为 Balancer.fi 的 DNS 解析记载（https://bgp.tools/dns/balancer.fi）。A 记载中地址为 104.21.37.47 和 172.67.203.244。这两个 IP 地址的所属 BGP AS 区域号为 AS13335，而且该 AS 属于 CloudFlare。

2. 依据 CloudFlare 的记载显现（https://radar.cloudflare.com/routing/anomalies/hijack-17957），AS13335 在 BGP Origin Hijack 进犯的 AS 列表中。

3. 发现 Balancer.fi 的 HTTPS 证书被更换为进犯者的证书。

4. 现在拜访 https://app.balancer.fi 会收到 CloudFlare 的垂钓安全提示。

5. 通过剖析，发现 app.balancer.fi 的前端存在歹意的 JavaScript 代码（https://app.balancer.fi/js/overchunk.js）。

6. 用户运用钱包连接 app.balancer.fi 站点后，歹意脚本会自动判断连接用户的余额并进行垂钓进犯。

7. 通过对歹意的 JS 文件进行剖析，得到以下歹意地址：

0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000

0x645710Af050E26bB96e295bdfB75B4a878088d7E

0x0000626d6DC72989e3809920C67D01a7fe030000

慢雾安全团队提示用户，现在针对 Balancer 的 BGP 进犯还在继续进行，请暂时中止拜访 app.balancer.fi 站点，防止遭受进犯。

解决方案

1. 自建监控，监控用户自用网段的 BGP 改变，进行告警；

2. 运用慢雾 MistEye 体系，供给链上链下安全监测服务，具备前后端、证书等信息的监控能力，能够实现监控网页、JS、证书等信息的改变，发现异常实时告警；

3. 采购老练产品，如 Akamai。Akamai 有全球 BGP 动态监控大数据服务，客户能够选择监控自用的特定网段的 BGP 改变，以随时跟进安全问题。

总结

通过慢雾安全团队深化地剖析，该事情为 BGP Hijacking 进犯导致的安全事情。这是针对 Balancer.fi 进行的一次有目的性的 BGP Hijacking 进犯，进犯者选的进犯时刻点、证书假造、AS 控制等操作趁热打铁。

最终需求提示的是，许多运营商已经很清楚 BGP Hijacking 进犯的危险，并为此做了充沛预备。但不少项目方并不是很清楚，特别是对 AS 改变引起的网络途径改变这类危险没有充沛的预备和响应措施，所以将来这类进犯可能会重复出现。因而，慢雾安全团队建议项目方、互联网服务供给商和服务器托管商应该认识到这类事情的危险，并协同防护，防止此类事情再次发生。假如你需求协助，能够联络慢雾安全团队。

此时快讯

【约1小时前，有人从Kraken提取446万美元到一个虚假Coinone挖矿交易所】金色财经报道，Scam Sniffer在其推文中表示，大约1小时前，有人从Kraken提取446万美元到一个假的Coinone加密挖矿交易所，受害者地址为：0x2175c0082d052872501f7fe54e1ac59858aaf7d9；诈骗者地址为：0xf994c143002388E11e9C939b8456dCe9De68a656
0xabb07822f471773ff00b9444308ceeb7cf0daca7。
其中“0xf994c143002388E11e9C939b8456dCe9De68a656”与许多加密货币挖矿诈骗网站相关。