BGP 攻擊

慢霧:balancer.fi 正遭受 BGP Hijacking 攻擊

ChainCatcher 消息,据慢霧區情報,balancer.fi 正遭受 BGPHijacking 攻擊,訪問該網站鏈接錢包後會遭受釣魚攻擊。根據 CloudFlare 的 BGP Origin Hijack-17957 顯示,ASNs 受害者列表中包含 balancer.fi 所屬的 AS13335。目前訪問該網站會收到 CloudFlare 的釣魚安全提醒。如下是慢霧安全團隊對本次事件的分析:1、查詢域名 balancer.fi 的DNS 解析記錄(https://bgp.tools/dns/balancer.fi),A記錄中地址為 104.21.37.47 和 172.67.203.244。這兩個IP地址的所屬 BGP AS 區域號為 AS13335,並且該 AS 屬於 CloudFlare。2、根據 CloudFlare 的記錄顯示(https://radar.cloudflare.com/routing/anomalies/hijack-17957),AS13335 正在BGP Origin Hijack 攻擊的 AS 列表中。3、發現 balancer.fi 的 HTTPS 證書被更換為攻擊者的證書。4、目前訪問 https://app.balancer.fi 會收到 CloudFlare 的釣魚安全提醒。5、經過分析,app.balancer.fi 的前端存在惡意的 JavaScript 代碼( https://app.balancer.fi/js/overchunk.js)。6、用戶使用錢包連接 app.balancer.fi 惡意腳本會自動判斷餘額並進行釣魚攻擊。7、經過 MistTrack 分析,惡意地址如下:0x00006DEAcd9ad19dB3d81F8410EA2B45eA5700000x645710Af050E26bB96e295bdfB75B4a878088d7E0x0000626d6DC72989e3809920C67D01a7fe030000慢霧安全團隊提醒用戶,目前針對 balancer 的 BGP 攻擊還在持續進行,請暫時停止訪問 balancer 的網站,避免遭受攻擊。
ChainCatcher 與創新者共建Web3世界