কিভাবে অ্যামাজন থেকে 3 ঘন্টার নিষ্ক্রিয়তা ক্রিপ্টোকারেন্সি হোল্ডারদের $235,000 খরচ করে

কিভাবে অ্যামাজন থেকে 3 ঘন্টার নিষ্ক্রিয়তা ক্রিপ্টোকারেন্সি হোল্ডারদের $235,000 খরচ করে

অ্যামাজন সম্প্রতি ক্লাউড পরিষেবাগুলি হোস্ট করার জন্য ব্যবহার করা IP ঠিকানাগুলির নিয়ন্ত্রণ হারিয়েছে এবং নিয়ন্ত্রণ পুনরুদ্ধার করতে তিন ঘণ্টারও বেশি সময় নিয়েছে, এমন একটি ত্রুটি যা হ্যাকারদের ক্ষতিগ্রস্থ গ্রাহকদের একজনের ব্যবহারকারীর কাছ থেকে $235,000 ক্রিপ্টোকারেন্সি চুরি করতে দেয়, একটি বিশ্লেষণ দেখায়।

হ্যাকাররা বিজিপি হাইজ্যাকিংয়ের মাধ্যমে প্রায় 256টি আইপি অ্যাড্রেসের নিয়ন্ত্রণ দখল করেছে, এটি এমন একটি আক্রমণ যা একটি মূল ইন্টারনেট প্রোটোকলের পরিচিত দুর্বলতাকে কাজে লাগায়। বর্ডার গেটওয়ে প্রোটোকলের জন্য সংক্ষিপ্ত, BGP হল একটি কারিগরি স্পেসিফিকেশন যা সংস্থাগুলি ট্র্যাফিক রুট করে, স্বায়ত্তশাসিত সিস্টেম নেটওয়ার্ক নামে পরিচিত, অন্যান্য ASNগুলির সাথে আন্তঃপরিচালনার জন্য ব্যবহার করে। রিয়েল টাইমে বিশ্বব্যাপী পাইকারি পরিমাণে ডেটা রাউটিং করার ক্ষেত্রে এর গুরুত্বপূর্ণ কাজ সত্ত্বেও, BGP এখনও কোন আইপি ঠিকানাগুলি সঠিকভাবে কোন ASN-এর অন্তর্গত তা ট্র্যাক করতে সংস্থাগুলির জন্য মুখের কথার মতো ইন্টারনেটের উপর নির্ভর করে।

ভুল পরিচয়ের একটি কেস

গত মাসে, স্বায়ত্তশাসিত সিস্টেম 209243, যা যুক্তরাজ্য-ভিত্তিক নেটওয়ার্ক অপারেটর Quickhost.uk-এর অন্তর্গত, হঠাৎ করে ঘোষণা করা শুরু করে যে এর পরিকাঠামো অন্যান্য ASN-এর জন্য AS16509-এর অন্তর্গত আইপি ঠিকানাগুলির /24 ব্লক হিসাবে পরিচিত, অ্যাক্সেস করার জন্য সঠিক পথ। অ্যামাজন দ্বারা পরিচালিত কমপক্ষে তিনটি ASN। হাইজ্যাক করা ব্লকের মধ্যে রয়েছে 44.235.216.69, একটি IP ঠিকানা হোস্টিং cbridge-prod2.celer.network, একটি সাবডোমেন যা সেলের ব্রিজ ক্রিপ্টোকারেন্সি এক্সচেঞ্জের জন্য একটি গুরুত্বপূর্ণ স্মার্ট চুক্তি ব্যবহারকারী ইন্টারফেস পরিবেশনের জন্য দায়ী।

17 আগস্টে, আক্রমণকারীরা প্রথমে cbridge-prod2.celer.network-এর জন্য একটি TLS শংসাপত্র পেতে হাইজ্যাকিং ব্যবহার করেছিল, যেহেতু তারা লাটভিয়ায় শংসাপত্র কর্তৃপক্ষ GoGetSSL-এর কাছে প্রমাণ করতে সক্ষম হয়েছিল যে সাবডোমেনের উপর তাদের নিয়ন্ত্রণ রয়েছে৷ শংসাপত্রটি দখল করার সাথে সাথে, হাইজ্যাকাররা একই ডোমেনে তাদের নিজস্ব স্মার্ট চুক্তি হোস্ট করে এবং আসল সেলের ব্রিজ cbridge-prod2.celer.network পৃষ্ঠায় অ্যাক্সেস করার চেষ্টা করা লোকেদের কাছ থেকে দেখার জন্য অপেক্ষা করে।

কয়েনবেস থেকে হুমকি গোয়েন্দা দলের এই লেখা অনুসারে, সব মিলিয়ে, দূষিত চুক্তিটি 32টি অ্যাকাউন্ট থেকে মোট $234,866.65 লোপাট করেছে।

কয়েনবেস টিআই বিশ্লেষণ

Coinbase দলের সদস্যরা ব্যাখ্যা করেছেন:

ফিশিং চুক্তিটি এর অনেক গুণাবলী অনুকরণ করে অফিসিয়াল সেলের ব্রিজ চুক্তির সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ। ফিশিং চুক্তিতে স্পষ্টভাবে সংজ্ঞায়িত নয় এমন কোনো পদ্ধতির জন্য, এটি একটি প্রক্সি কাঠামো প্রয়োগ করে যা বৈধ সেলার ব্রিজ চুক্তিতে কলগুলিকে ফরওয়ার্ড করে। প্রক্সিড চুক্তি প্রতিটি চেইনের জন্য অনন্য এবং আরম্ভ করার সময় কনফিগার করা হয়। নীচের কমান্ডটি ফিশিং চুক্তির প্রক্সি কনফিগারেশনের জন্য দায়ী স্টোরেজ স্লটের বিষয়বস্তুকে চিত্রিত করে:

ফিশিং স্মার্ট কন্ট্রাক্ট প্রক্সি স্টোরেজ
বড় করা / ফিশিং স্মার্ট কন্ট্রাক্ট প্রক্সি স্টোরেজ

কয়েনবেস টিআই বিশ্লেষণ

ফিশিং চুক্তি দুটি পন্থা ব্যবহার করে ব্যবহারকারীদের তহবিল চুরি করে:

  • ফিশিংয়ের শিকারদের দ্বারা অনুমোদিত যেকোন টোকেন 4বাইট মান 0x9c307de6() সহ একটি কাস্টম পদ্ধতি ব্যবহার করে নিষ্কাশন করা হয়
  • ফিশিং চুক্তিটি অবিলম্বে একজন শিকারের টোকেন চুরি করার জন্য ডিজাইন করা নিম্নলিখিত পদ্ধতিগুলিকে ওভাররাইড করে:
  • send()- টোকেন চুরি করতে ব্যবহৃত হয় (যেমন USDC)
  • sendNative() — দেশীয় সম্পদ (যেমন ETH) চুরি করতে ব্যবহৃত হয়
  • addLiquidity()- টোকেন চুরি করতে ব্যবহৃত হয় (যেমন USDC)
  • addNativeLiquidity() — দেশীয় সম্পদ চুরি করতে ব্যবহৃত হয় (যেমন ETH)

নীচে একটি নমুনা বিপরীত প্রকৌশলী স্নিপেট যা আক্রমণকারী ওয়ালেটে সম্পদ পুনঃনির্দেশ করে:

ফিশিং স্মার্ট কন্ট্রাক্ট স্নিপেট
বড় করা / ফিশিং স্মার্ট কন্ট্রাক্ট স্নিপেট

কয়েনবেস টিআই বিশ্লেষণ