Celer Network cBridge クロスチェーン ブリッジ インシデントの背後にある真実: BGP 攻撃

背景

Celer Network関係者は8月18日、北京時間の3時45分から6時の間に、特定のcBridgeユーザーが悪意のあるスマートコントラクトに誘導されたと発表した。当初、cBridge フロントエンド インターフェイスは DNS 攻撃によって侵害された疑いがありました。

Nomad、Wormhole、Ronin、Harmony などのこれまでのクロスチェーン ブリッジ ハッキング事件とは完全に異なり、この攻撃はスマート コントラクトやクロスチェーン プロトコルのバグや関連サーバーへの侵入によって引き起こされたものではありません。 cBridge にロックされているチェーン資産も安全に保管されています。この攻撃では、ハッカーは Celer システムの外部にあるインターネット アーキテクチャの基盤インフラストラクチャを直接標的にし、クロスチェーン ユーザーがインターネットの基盤となるルーティング プロトコルを欺くことにより、一定期間内に「フィッシング」フロントエンド ユーザー インターフェイスにアクセスできるようにしました ( Celer ネットワークは、迅速な対応により被害を最小限に抑えることができました。これは、Celer ネットワーク チームが 24 時間の監視システムを備えているためです。顧客サービス チームは問題を特定し、タイムリーにコミュニティに警告することができました。 Celer Network チームは、SlowMist セキュリティ チームにこの緊急事態に対応し、詳細な調査を実施する権限を与えました。

分析プロセス

Celer Network チームは当初 DNS 攻撃を疑っていましたが、彼らと連絡を取った結果、問題のドメイン名 cbridge-prod2.celer.network についてさらに詳しく知ることができました。攻撃中にブラウザが証明書エラーを報告しなかったことが分かりました。そのため、まず DNS 攻撃の可能性に対処することから調査を開始しました。(DNS 攻撃の可能性を迅速に確認するのを手伝ってくれた @greysign1 に特に感謝します)

まず、関連する証明書情報を確認しました。

証明書は予期せず変更されたようで、Let’s Encrypt が発行した元の証明書が、GoGetSSL が発行した偽造証明書に置き換えられました。

GoGetSSL は 90 日間の無料証明書を発行できます。

• 証明書 1 の分析: https://crt.sh/?id=7356185959

  

  次の時点で証明書に CRL チェック エラーが表示されます。

  

• 証明書 2 の分析: https://crt.sh/?id=7356185959

  

  この証明書には、次の場合に CRL チェック エラーも発生します。

  

  IP アドレス、証明書、および証明書 1 に関連付けられているその他の情報を調べた結果、この証明書によってバインドされている IP アドレスは 44.235.216.69 であることがわかりました。

  

  

  

  証明書 2 の IP アドレスは、証明書 2 に対応する IP アドレスを照会できませんでした。これは、攻撃の期間が短く、インターネット検索エンジンが関連情報を収集できなかったことが原因である可能性があります。

  その結果、私たちは cbridge-prod2.celer.network ドメインの IP 解決データに分析の焦点を当てました。

  IP アドレス 44.235.216.69 は、長期間 cbridge-prod2.celer.network に関連付けられていました。

  

  ここで疑問が湧きます。この IP アドレス 44.235.216.69 が長期間 cbridge-prod2.celer.network に関連付けられていたという事実は、この IP アドレスが Celer Network の公式サーバーに属していたことを証明しています。これは Celer Network チームでも確認されています。では、なぜこの IP に偽造証明書が関連付けられていたのでしょうか?

  

  そこで、44.235.216.69 の AS を調査し始めたところ、この IP に対応する AS が異常であることを発見しました。

  

  AS16509はボゴンを発表します：

  

  bogons を調べると、攻撃者が IP アドレスを偽装して攻撃を実行するのが一般的であることがわかります。https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum.networklessons.com/t/what-are-bogons/6333

  

  44.235.216.69 の AS に異常が見られたため、まず BGP に問題があると疑い、Celer Network に連絡して攻撃者の IP アドレス 54.84.236.100 を取得しました。IP アドレスが配置されている AS14618 にも例外があることがわかりました (AS14618 はボゴンもアナウンスします)。

  

  偶然にも、AS14618 のアップストリームは AS16509 でした (AS16509 は 44.235.216.69 が配置されている AS でもあります)。これにより、BGP 攻撃の可能性が警告されました。

  調査の結果、IP: 54.84.236.100 が悪意のあるものとしてフラグ付けされていることが判明しました。

  

  私たちのコミュニティから IP: 54.84.236.100 に関する関連情報を収集したところ、その IP アドレスが 2014 年に発生した別の BGP 攻撃インシデントに関連しているという記述が見つかりました。ただし、このインシデントはかなり前に発生したため、もはや関連性がない可能性があります。

  

  

  その後、私たちはこの BGP 攻撃によって残された記録をたどって調査を続けました。

  

  攻撃 IP: 54.84.236.100 の BGP レコードを追跡すると、ルートが利用できなくなっていることが判明しました。

  

  私たちは、celer の IP: 44.235.216.69 の BGP ルーター トレースを追跡し続け、正しいルートを見つけることができました。

  

  次に、BGPノードの変更ログを確認しました。北京時間：2022年8月18日午前2時48分〜2022年8月18日午前7時48分UTC+8

  

  

  2022 年 8 月 18 日午前 2 時 48 分から午前 7 時 48 分 (BST) までの期間に、多数のノード追加と変更レコードの削除が発生したことが判明しました。

  AS 変更ログの監視を継続したところ、AS14618 には以前はルーティング情報 44.235.216.0/24 がありましたが、その後パスが「Withdrawn」に変更されたことが判明しました。これは次のことを証明しています。

  1. AS14618の44.235.216.0/24はかつては最適パスだった

  2. 現在、AS14618 の 44.235.216.0/24 は最適なパスではなくなり、取り消されています。

  (BGP攻撃が発生すると、攻撃者はトラフィックを自分のサーバーに誘導するための最適なパスを公開します)

  

  より正確なデータを取得するために、次の bgplay を使用して、攻撃発生時の 44.235.216.69 に関連するパスの変化を確認しました。

  

  2022 年 8 月 17 日、19:19:23 +UTC から 23:19:23 +UTC までの期間に、BGP ルーティング パスウェイの情報に大きな変動があったことがわかります。

  この変更は、44.235.216.0/24 から AS14618 へのトラフィックの誘導に反映され、攻撃後、44.235.216.0/24 からのトラフィックは AS16509 を経由して送信されます。

  その結果、このインシデントは BGP 攻撃イベントである可能性が高いと考えられます。AS14618 は攻撃者の制御下にあるノードであると思われます (AS14618 のルーターにはセキュリティ上の問題があり、攻撃者に悪用される可能性があります)。攻撃は約 4 時間続きました。

  攻撃者は、同じ IP を持つ悪意のあるサーバーを持っていたため、証明書 1 (偽造証明書) を Celer Network の IP: 44.235.216.69 にバインドすることができました。gogetssl は認証に http をサポートしているため、gogetssl が提供するテキストを悪意のあるサーバーに入力するだけで済みます。したがって、BGP 攻撃を通じて同じ IP を持つ悪意のあるサーバーにトラフィックを誘導することで、証明書 1 をバインドすることが可能になります。その結果、ブラウザに証明書エラーの警告が表示されました。

  以下の理由により、AS14618 は攻撃者によって制御されていると判断しました。

  • 攻撃者は最初に 44.235.216.69 のトラフィックを AS14618 に送信し、攻撃後に 44.235.216.69 を AS16509 に戻しました。

  • 攻撃 IP: 54.84.236.100 も AS14618 内にあります。

  • 攻撃後、AS14618 は 44.235.216.69 に撤回されました。

  この質問に答えるには、この IP アドレス 44.235.216.69 が長期間 cbridge-prod2.celer.network に関連付けられていたという事実は、この IP アドレスが公式の Celer Network サーバーに属していたことを証明しています。これは Celer Network チームでも確認されています。では、なぜこの IP に偽造証明書が関連付けられていたのでしょうか?

  HTTPS プロトコルを使用して通信する場合、証明書の秘密鍵を取得しないと、データ (クライアント/サーバー通信のデータを含む) を暗号化/復号化することはできません。したがって、証明書が正しいことを確認して中間者攻撃を実行できるようにするには、攻撃者は、認証局で適用された証明書を、同じ IP 44.235.216.69 を持つ悪意のあるサーバーに再バインドする必要があります。これにより、攻撃者はクライアントのデータを復号化し、応答パケットのデータに悪意のあるコードを挿入できます。

  分析の結論

  私たちは Celer Network チームと協力してこの攻撃を調査しました。これは Celer Network に対する高度な BGP 攻撃の試みであり、攻撃者は攻撃のタイミング、証明書の偽造、AS 制御、その他の操作などすべてを準備していました。

  結局のところ、多くのプロジェクトがすでに BGP 攻撃に関連するリスクを認識しており、適切な予防措置を講じていることは認識しています。しかし、特に AS の変更によって引き起こされるネットワーク パスの変更に関しては、まだ認識していないプロジェクトも多くあります。十分な準備と対応策がなければ、同じ攻撃者または他の攻撃者によるさらなる攻撃を受けるリスクがかなりあります。したがって、組織、ISP、サーバー ホスティング プロバイダーは、このようなリスクを認識し、防御戦略を調整して、同様のインシデントが再び発生しないようにすることをお勧めします。また、いつものように、サポートが必要な場合は、SlowMist セキュリティ チームにお問い合わせください。

  添付ファイル

  cbridge-prod2.celer.network DNS チャート: