当前位置:主页 > 文章 > Balancer.fi BGP Hijacking攻击分析 - 虚拟数字货币信息网

Balancer.fi BGP Hijacking攻击分析 - 虚拟数字货币信息网

2025-06-06 14:31:45 | 来源: | 作者:佚名
事件背景,年,月,日,据慢雾区情报,遭受,攻击,访问该网站的链接后,钱包会遭受钓鱼攻击,

事件背景

2023年9月20日,据慢雾区情报,Balancer.fi 遭受 BGP Hijacking攻击,访问该网站的链接后,钱包会遭受钓鱼攻击。

Balancer.fi BGP Hijacking攻击分析

慢雾安全团队收到安全情报后立即展开分析,根据 CloudFlare的BGP Origin Hijack-17957 显示,ASNs 受害者列表中包含Balancer.fi所属的 AS13335。目前访问该网站会收到 CloudFlare 的钓鱼安全提醒。

具体分析

1. 查询域名为Balancer.fi的 DNS 解析记录。A 记录中地址为 104.21.37.47 和 172.67.203.244。这两个 IP 地址的所属 BGP AS 区域号为 AS13335,并且该 AS 属于 CloudFlare。

Balancer.fi BGP Hijacking攻击分析

2. 根据 CloudFlare 的记录显示,AS13335 在 BGP Origin Hijack攻击的 AS 列表中。

Balancer.fi BGP Hijacking攻击分析

3. 发现Balancer.fi的 HTTPS 证书被更换为攻击者的证书。

Balancer.fi BGP Hijacking攻击分析

4. 目前访问Balancer.fi会收到 CloudFlare 的钓鱼安全提醒。

Balancer.fi BGP Hijacking攻击分析

5. 经过分析,发现balancer.fi的前端存在恶意的 JavaScript 代码。

Balancer.fi BGP Hijacking攻击分析

6. 用户使用钱包连接balancer.fi 站点后,恶意脚本会自动判断连接用户的余额并进行钓鱼攻击。

Balancer.fi BGP Hijacking攻击分析

7. 通过对恶意的JS文件进行分析,得到以下恶意地址:

0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000

0x645710Af050E26bB96e295bdfB75B4a878088d7E

0x0000626d6DC72989e3809920C67D01a7fe030000

慢雾安全团队提醒用户,目前针对balancer的BGP攻击还在持续进行,请暂时停止访问balancer.fi 站点,避免遭受攻击。

解决方案

1. 自建监控,监控用户自用网段的 BGP 变化,进行告警;

2. 使用慢雾 MistEye 系统,提供链上链下安全监测服务,具备前后端、证书等信息的监控能力,可以实现监控网页、JS、证书等信息的变化,发现异常实时告警;

3. 采购成熟产品,如 Akamai。Akamai 有全球 BGP 动态监控大数据服务,客户可以选择监控自用的特定网段的 BGP 变化,以随时跟进安全问题。

攻击分析总结

经过慢雾安全团队深入地分析,该事件为 BGP Hijacking攻击导致的安全事件。这是针对Balancer.fi进行的一次有目的性的 BGP Hijacking攻击,攻击者选的攻击时间点、证书伪造、AS 控制等操作一气呵成。

最后需要提醒的是,许多运营商已经很清楚 BGP Hijacking攻击的风险,并为此做了充分准备。但不少项目方并不是很清楚,特别是对 AS 变化引起的网络路径变化这类风险没有充分的准备和响应措施,所以将来这类攻击可能会重复出现。因此,慢雾安全团队建议项目方、互联网服务提供商和服务器托管商应该认识到这类事件的风险,并协同防御,避免此类事件再次发生。如果你需要协助,可以联系慢雾安全团队。

声明:文章内容不代表本站观点及立场,不构成本平台任何投资建议。本文内容仅供参考,风险自担!

你可能感兴22趣的文章

最新资讯

区块链百科