亚马逊 3 小时无活动 让加密投资者损失 235,000 美元

在突然失去控制后，亚马逊花了三个多小时才重新控制了它用来托管基于云服务的 IP 地址。调查结果表明，由于这个缺陷，黑客可以从其中一个受感染客户的客户那里窃取 235,000 美元的加密货币。

黑客是如何做到的

通过使用一种称为BGP 劫持的技术，该技术利用了基本 Internet 协议中众所周知的缺陷，攻击者控制了大约 256 个 IP 地址。BGP 是边界网关协议的缩写，是自治系统网络（指导流量的组织）用于与其他 ASN 通信的标准规范。

为了让企业跟踪哪些 IP 地址合法地遵循哪些ASN， BGP 仍然主要依赖于相当于口碑的互联网，尽管它在实时路由全球大量数据方面发挥着关键作用。

黑客变得更加狡猾

8 月，一个属于 AS16509 的 IP 地址块（亚马逊运营的至少 3 个 ASN 之一）突然宣布可通过英国网络运营商 Quickhost 拥有的自治系统 209243 访问。

IP 地址主机 cbridge-prod2.celer.network 是一个子域，负责为 Celer Bridge 加密交换提供关键的智能合约用户界面，它是 44.235.216.69 受感染区块的一部分。

由于他们可以向拉脱维亚颁发机构证书 GoGetSSL 证明他们控制了子域，因此黑客利用这次接管在 8 月 17 日为 cbridge-prod2.celer.network 获取了 TLS 证书。

一旦获得证书，犯罪者就会在同一个域中部署他们的智能合约，并监视试图访问合法 Celer Bridge 页面的访问者。

根据 Coinbase 威胁情报团队的以下报告，欺诈性合同从 32 个账户中窃取了 234,866.65 美元。

亚马逊似乎被咬了两次

对亚马逊 IP 地址的 BGP 攻击导致大量比特币损失。2018 年发生了一起使用亚马逊 Route 53 系统进行域名服务的令人不安的相同事件。MyEtherWallet客户账户中价值约 150,000 美元的加密货币。如果黑客使用的是浏览器信任的 TLS 证书，而不是强迫用户点击通知的自签名证书，那么被盗的金额可能会更大。

在 2018 年的攻击之后，亚马逊在路由源授权 (ROA) 中添加了超过 5,000 个 IP 前缀，这些是公开可用的记录，用于指定哪些 ASN 有权广播 IP 地址。

这一变化提供了RPKI（资源公钥基础设施）的一些安全性，它使用电子证书将 ASN 链接到其正确的 IP 地址。

这项研究表明，黑客上个月引入了 AS16509 和更精确的 /24 路由到 ALTDB 中索引的 AS-SET，这是自治系统发布其 BGP 路由原则的免费注册表，以绕过防御。

在亚马逊的辩护中，它远非第一个因 BGP 攻击而失去对其 IP 号码控制权的云提供商。二十多年来，BGP 一直容易受到粗心配置错误和公然欺诈的影响。归根结底，安全问题是一个全行业的问题，亚马逊无法单独解决。