慢霧：balancer.fi 正遭受 BGP Hijacking 攻擊

ChainCatcher 消息，据慢霧區情報，balancer.fi 正遭受 BGPHijacking 攻擊，訪問該網站鏈接錢包後會遭受釣魚攻擊。根據 CloudFlare 的 BGP Origin Hijack-17957 顯示，ASNs 受害者列表中包含 balancer.fi 所屬的 AS13335。目前訪問該網站會收到 CloudFlare 的釣魚安全提醒。

如下是慢霧安全團隊對本次事件的分析：

1、查詢域名 balancer.fi 的DNS 解析記錄（https://bgp.tools/dns/balancer.fi），A記錄中地址為 104.21.37.47 和 172.67.203.244。這兩個IP地址的所屬 BGP AS 區域號為 AS13335，並且該 AS 屬於 CloudFlare。
2、根據 CloudFlare 的記錄顯示（https://radar.cloudflare.com/routing/anomalies/hijack-17957），AS13335 正在BGP Origin Hijack 攻擊的 AS 列表中。
3、發現 balancer.fi 的 HTTPS 證書被更換為攻擊者的證書。
4、目前訪問 https://app.balancer.fi 會收到 CloudFlare 的釣魚安全提醒。
5、經過分析，app.balancer.fi 的前端存在惡意的 JavaScript 代碼（ https://app.balancer.fi/js/overchunk.js）。
6、用戶使用錢包連接 app.balancer.fi 惡意腳本會自動判斷餘額並進行釣魚攻擊。
7、經過 MistTrack 分析，惡意地址如下：
0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000
0x645710Af050E26bB96e295bdfB75B4a878088d7E
0x0000626d6DC72989e3809920C67D01a7fe030000

慢霧安全團隊提醒用戶，目前針對 balancer 的 BGP 攻擊還在持續進行，請暫時停止訪問 balancer 的網站，避免遭受攻擊。