慢雾科技：CelerNetworkcBridge跨链桥事故真

　　免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表MarsBit官方立场。
　　小编：记得关注哦
　　来源：慢雾科技
　　事件背景
　　8月18日，CelerNetwork官方表示，北京时间8月18日3：45至6：00期间，部分使用cBridge的用户被引导至恶意智能合约，cBridge前端界面疑似遭受DNSHijacking攻击。与之前如Nomad，Wormhole，Ronin，Harmony等跨链桥黑客事件完全不同的是，这次攻击并不是因为智能合约和跨链协议的Bug或相关服务器被入侵导致的，因此在cBridge中锁定的跨链资产也一直保持安全。这次攻击黑客直接针对Celer系统之外的互联网架构中的底层基础设施，通过欺骗互联网的底层路由协议（BGP），让跨链用户在一段时间内，访问了一个“钓鱼”前端用户界面。由于CelerNetwork团队有24小时监控机制，客服在第一时间发现问题，后续团队的处置速度及时、方法得当，用户损失非常的小。同时慢雾安全团队应CelerNetwork团队邀请也在第一时间参与应急并协助进行深入分析。
　　（https：twitter。comCelerNetworkstatus1560022871564775424）
　　分析过程
　　开始的时候CelerNetwork团队初步怀疑是DNSHijacking，在与CelerNetwork团队进行沟通讨论后得到出问题的域名信息：cbridgeprod2。celer。network，并且根据用户的反馈，在攻击期间浏览器并没有提示证书错误，因此先排查下DNSHijacking的可能性。（这里特别感谢Twitter用户greysign1的帮助，协助我们快速排查DNSHijacking的可能性）
　　我们先看下相关证书相关信息：
　　（https：crt。sh？qceler。network）
　　很明显证书突然发生了变化，原来Let’sEncrypt签发的证书被替换为GoGetSSL签发的伪造证书。
　　GoGetSSL可以签发免费90天的证书：
　　（https：www。gogetssl。comsslcertsfreessl）
　　分析证书1：
　　https：crt。sh？id7356185959
　　SHA256
　　A01A34FE398E56D80BDDA40EFB555D14654856B5FAA6C92BFEBEF2861D712732
　　证书出现CRLCheck错误，时间如下：
　　分析证书2：
　　https：crt。sh？id7356184952
　　SHA256
　　579FABEE3A9F7EFECD43C99795744C4B93DC49A4FB93E174B201F8A333990C1A
　　证书也出现了CRLCheck错误，时间如下：
　　分析证书1对应的IP、证书等信息，发现证书绑定的IP为44。235。216。69：
　　（https：search。censys。iohosts44。235。216。69）
　　对证书2的IP进行调查，未能查询到证书2对应的IP地址，这可能是因为攻击持续的时间较短，互联网搜索引擎未能采集到相关的信息。
　　因此慢雾安全团队将调查的重点转向查询cbridgeprod2。celer。network域名对应IP解析记录：
　　cbridgeprod2。celer。network很长一段时间都解析到44。235。216。69：
　　疑问点：
　　cbridgeprod2。celer。network长时间解析到44。235。216。69，证明这个IP应该是属于CelerNetwork官方服务器的IP地址，经过与CelerNetwork团队进行确认44。235。216。69是属于他们的IP，但是为什么会有假证书绑定在这个44。235。216。69IP上呢？
　　于是我们开始对44。235。216。69的AS进行检查，发现该IP对应的AS存在异常。
　　AS16509提示AS16509announcesbogons：
　　查阅bogons相关资料，这种情况经常出现在攻击者伪造IP进行攻击的场景中：
　　https：networkdirection。netarticlesroutingandswitchingbgpbogonsandmartians
　　https：forum。networklessons。comtwhatarebogons6333
　　由于44。235。216。69的AS出现了异常，初步推测问题可能出现在BGP上，于是慢雾安全团队继续和CelerNetwork团队进行沟通获得攻击IP：54。84。236。100，对IP：54。84。236。100进行分析，发现该IP所在的AS14618也出现了异常（AS14618也是announcesbogons）。
　　并且巧合的是AS14618的上游是AS16509（AS16509也是44。235。216。69所在的AS），这时候慢雾安全团队就警惕起来了，这种情况很有可能是一起BGPHijacking的攻击。
　　继续对攻击IP：54。84。236。100进行调查，发现该IP已被标记为恶意IP。
　　并且我们通过情报社区获得54。84。236。100相关情报，其中有一则情报提到54。84。236。100与2014年的一起BGPHijacking事件有关，但是由于这起事件的时间太久了，可能暂时不具备时效性。
　　（https：www。secureworks。comresearchbgphijackingforcryptocurrencyprofit）
　　慢雾安全团队顺着BGPHijacking方向继续深入的分析，并开始BGPTrace记录追踪：
　　追踪攻击IP：54。84。236。100的BGPTrace记录，发现目前已经无法找到这条路由。
　　继续追踪Celer的IP：44。235。216。69的BGPRouterTtrace记录，能够正常找到路由。
　　接着查询BGP节点变动记录：
　　北京时间：81820222：48AM81820227：48AMUTC8
　　发现北京时间81820222：48AM81820227：48AM这个时间点，有大量的节点添加、删除变动记录。
　　我们继续追踪AS变动记录，发现AS14618历史上包含了44。235。216。024这条路由信息，但是后面将这条路径发生了Withdrawn，这证明：
　　曾经AS14618中的44。235。216。024是最优路径
　　现在AS14618中的44。235。216。024已经不是最优路径，所以被Withdrawn。
　　（BGPHijacking发生的时候攻击者会发布一条最优的路径将流量引导到自己的服务器上）
　　（https：smakd。potaroo。netcgibinperas？as14618）
　　通过上述的分析其实已经有明显的BGPHijacking的痕迹了，为了能够得到更精准的数据，我们使用bgplay查看44。235。216。69相关路径在攻击时间前后的变化：
　　（https：stat。ripe。netspecialbgplaybgplayfetch。resource44。235。216。69）
　　我们可以看到在2022081719：19：23UTC2022081723：19：23UTC时间段内，BGP路由路径的信息出现较大的波动性变化。
　　并且这种变化表现为：将44。235。216。024的流量引导到AS14618，并在攻击时间之后44。235。216。024的流量路径便从AS16509中走。
　　因此，我们判断这起事件大概率BGPHijacking问题，AS14618应该是攻击者可以控制的节点（AS14618的Router可能存在安全问题导致被攻击者利用），攻击持续4个小时左右。
　　攻击者可以把证书1（假证书）绑定在CelerNetwork的IP：44。235。216。69上，也是因为攻击者有相同IP：44。235。216。69的恶意服务器，然后gogetssl支持http进行验证，只要在恶意服务器上放一个gogetssl提供的txt就行，因此可以通过BGPHijacking将流量引导到相同IP的恶意服务器上完成证书1的绑定，这样浏览器就不会有证书错误的提醒。
　　判断AS14618应该是攻击者可以控制的理由：
　　攻击者先将44。235。216。69的流量引导到AS14618，攻击结束后44。235。216。69的路由回到了AS16509。
　　并且攻击IP：54。84。236。100也在AS14618里面。
　　攻击结束后AS14618Withdrawn了44。235。216。69的路由。
　　疑问点解答：
　　cbridgeprod2。celer。network长时间解析到44。235。216。69，证明这个IP应该是属于CelerNetwork官方服务器的IP地址，经过与CelerNetwork团队进行确认44。235。216。69是属于他们的IP，但是为什么会有假证书绑定在这个44。235。216。69IP上呢？
　　使用HTTPS协议进行通讯在没办法拿到证书私钥的情况下是无法加解密数据（包含客户端服务端通讯的数据）的，所以要想保证证书正确并且能够进行中间人攻击，攻击者需要通过在权威机构申请的证书重新绑定在的有相同IP：44。235。216。69的恶意服务器上，这样攻击者就能够解密客户端的数据了，并且可以往响应包的数据中插入恶意的代码。
　　分析结论
　　本次攻击事件经过慢雾安全团队与CelerNetwork团队共同配合，进行深入的分析，该事件为BGPHijacking攻击导致的安全事件。这是针对CelerNetwork进行的一次有目的性的BGPHijacking攻击，攻击者选的攻击时间点、证书伪造、AS控制等操作一气呵成。
　　最后需要提醒的是，许多运营商已经很清楚BGPHijacking攻击的风险，并为此做了充分准备。但不少项目方并不是很清楚，特别是像AS变化引起的网络路径变化，没有充分的准备和响应措施，所以将来很有可能会被同一攻击者或其他攻击者重复攻击。因此，慢雾安全团队建议项目方、互联网服务提供商和服务器托管商应该认识到这类事件的风险，并一起协同防御，避免此类事件再次发生，如果你需要协助请联系慢雾安全团队。
　　附：
　　【1】BGPHijacking科普参考链接：
　　https：www。cloudflare。comzhcnlearningsecurityglossarybgphijacking
　　【2】cbridgeprod2。celer。networkDNS变化图：
　　责编：Moon