BGP劫持盗取MyEtherWallet用户的加密货币
- 类别:安全
- 作者:管理
- 出版者:必威平台
- 2018年4月26日
4月24日,在UTC时间11到1之间的两个小时,加密货币Ethereum是从试图访问的用户那里偷来的吗myetherwallet.com。被盗的以太坊估计价值不菲13000美元。这是通过DNS重路由和BGP劫持的精心设计的攻击完成的。后来发现,这些参与者不是一次性的,他们已经拥有加密货币的价值1700万美元在他们的钱包。
MyEtherWallet就此事在Reddit上发表了一份官方声明。它明确表示,MyEtherWallet的安全没有问题,但由于公共DNS服务器存在一些漏洞。你可以点击MyEtherWallet官方声明查看完整语句。
什么是BGP和BGP泄漏?
BGP(边界网关协议)是用于自治系统之间通信的协议。因特网由各种自治系统组成,这些自治系统相互交互以发送/接收数据。自治系统本身是独立的网络,但在与其他自治系统交互时需要BGP。自治系统用自治系统号(Autonomous System Number)或ASN来相互识别。自治系统的路由器为其他自治系统宣布它们的ip地址,以识别它们的网络并将数据包发送到适当的目的地。
有时,ISP被参与者劫持,用来宣布没有授权的自治系统的ip。这被称为BGP泄漏。BGP泄漏的原因多种多样。有时,这是由于配置错误造成的。但在大多数情况下,BGP泄漏是由于某些人试图劫持BGP路由器,在未经其同意的情况下宣布其他自治系统的ip。
到底发生了什么事?
当用户试图访问MyEtherWallet网站时,一个带有自签名的TLS证书出现在屏幕上,向用户发出警告。然而,这并没有阻止许多用户继续下去。一旦用户这样做了,参与者就有了加密密钥。然后这些用户通过一种叫做BGP劫持的方法被重定向到一些俄罗斯服务器。
请求访问MyEtherWallet的用户实际上是通过手动输入或借助cookie的帮助向参与者提供他们的凭据。一旦参与者获得了证书,就很容易登录到真正的网站,并耗尽所有以太坊的用户。不到几分钟,用户就发现他们的钱包空了。
值得注意的是,MyEtherWallet的安全性没有受到任何威胁。只有使用钱包的用户被重定向到另一个服务器,在那里他们被骗放弃他们的凭证。
此外,MyEtherWallet使用的DNS服务是亚马逊的Route 53服务,该服务也从未遭到黑客攻击。演员们只是为了让亚马逊的ip看起来像其他网络在转发数据路线53。
这是怎么发生的?
周二,将IP空间分配给亚马逊(AS16509)是由另一个自治系统宣布的吗硅谷动力公司(AS10297)。然后它被转发到飓风电力(AS6939)。这意味着许多Autonomous Systems将eNet Inc (AS10297)网络视为亚马逊的网络。
当用户向托管在Amazon Web Services(AWS)上的MyEtherWallet发送请求时,该请求被转发到位于芝加哥的被劫持的Internet Exchange。该请求随后被路由到俄罗斯的服务器,用户的凭证在那里被复制。虽然宣布的ip是亚马逊的,但演员们只接受了原本应该来自MyEtherWallet用户的请求。
结论
有许多因素导致了MyetherWallet事件。首先,用户需要单击证书异常以前进。只有单击证书异常的用户受到影响。其次,随着过境供应商宣布没有任何验证的IP,这将暴露了BGP协议中的漏洞。第三,DNS解析器将DNS解析为伪造于53号DNS服务器的假DNS服务器。
如果网络之间的通信没有以安全的方式进行,这类事件很可能会重复发生。此外,我们还需要修复BGP协议和DNS解析方面的漏洞。但最重要的是,isp在发送和接收数据包时必须更加警惕。