1. 首页
  2. 快讯
  3. 慢雾:Balancer的BGP攻击还在持续进行,建议暂时停止访问其官网

慢雾:Balancer的BGP攻击还在持续进行,建议暂时停止访问其官网

星空财经消息,9 月 20 日,据慢雾区情报,Balancer 正遭受 BGPHijacking 攻击,访问该网站链接钱包后会遭受钓鱼攻击。根据 CloudFlare 的 BGP Origin Hijack-17957 显示,ASNs 受害者列表中包含 Balancer 所属的 AS13335。目前访问该网站会收到CloudFlare的钓鱼安全提醒。如下是慢雾安全团队对本次事件的分析:

1、查询域名 balancer.fi 的 DNS 解析记录(https://bgp.tools/dns/balancer.fi),A 记录中地址为 104.21.37.47 和172.67.203.244。这两个 IP 地址的所属 BGP AS 区域号为 AS13335,并且该 AS 属于 CloudFlare;

2、根据 CloudFlare 的记录显示(https://radar.cloudflare.com/routing/anomalies/hijack-17957),AS13335 正在BGP Origin Hijack 攻击的 AS 列表中;

3、发现 balancer.fi 的 HTTPS 证书被更换为攻击者的证书;

4、目前访问 https://app.balancer.fi 会收到 CloudFlare 的钓鱼安全提醒;

5、经过分析,app.balancer.fi 的前端存在恶意的 JavaScript 代码( https://app.balancer.fi/js/overchunk.js)。

6、用户使用钱包连接 app.balancer.fi 恶意脚本会自动判断余额并进行钓鱼攻击;

7、经过 MistTrack 分析,恶意地址如下: 0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000 0x645710Af050E26bB96e295bdfB75B4a878088d7E 0x0000626d6DC72989e3809920C67D01a7fe030000

慢雾安全团队提醒用户,目前针对 Balancer 的 BGP 攻击还在持续进行,请暂时停止访问 Balancer 的网站,避免遭受攻击。

上一篇:

下一篇: