BGP劫持后，KlaySwap加密用户损失资金

BGP劫持后，KlaySwap加密用户损失资金

黑客从韩国加密货币平台窃取了大约190万美元KLAYswap此前，他们对该平台的一家提供商的服务器基础设施实施了罕见而巧妙的BGP劫持。

BGP劫持——相当于黑客劫持互联网路由，将用户带到恶意网站，而不是合法网站——遭到攻击KakaoTalk，一个在韩国流行的即时通讯平台。

袭击发生在本月早些时候，2月3日，只持续了两个小时，而KLAYswap已经确认的事件发生在上周，目前发放补偿对于受影响的用户。

黑客是如何发生的

但这一事件本身与大多数加密货币平台被黑客攻击的方式大不相同。如今，大多数加密货币盗窃都是在攻击者侵入员工账户或侵入平台代码以窃取受害者账户资金后发生的。

KLAYswap攻击与众不同，因为它不是针对KLAYswap本身，而是针对KakaoTalk的服务器基础设施，该平台将该服务用于营销，并作为技术支持运营期间与用户沟通的一种方式。

攻击者提前几个月就计划好了，他们使用了一个自主系统(AS)，这是一个“虚构的”互联网实体，由拥有自己的IP地址空间的公司使用，如电信、数据中心、托管提供商或软件公司。

自治系统的目的是“宣传”互联网路由，告诉其他自治系统他们拥有什么样的IP地址空间，以及在他们的房产上可以找到什么样的域名。在技术层面上，这是通过边界网关协议(BGP)路由来完成的，这些路由会不断地相互发送。

使用被称为AS94572月3日，攻击者开始发布广告称他们拥有提供服务的IP地址developers.kakao.com，它是KakaoTalk开发者基础设施的一部分，也是该公司托管其官方Kakao SDK(软件开发工具包)的地方，第三方应用程序将使用该工具包与其服务集成。

在一个报告上周发布的韩国网络安全公司S2W称，攻击者使用了BGP劫持作为服务恶意版本的KakaoTalk的JavaScript SDK文件的一种方式，即:

https://developers.kakao.com/sdk/js/kakao.min.js

想要从官方Kakao开发人员网站加载该文件的用户从攻击者的服务器收到了一个版本。

但S2W表示，该文件被修改为在文件末尾包含额外的代码，一旦加载到用户的浏览器中，将等待他们在KLAYswap网站上发起交易，如资产存入、交换或提取。

一旦检测到一个操作，代码将劫持资金，并将用户的资产发送到攻击者控制的钱包，资金将立即通过OrbitBridge和FixedFloat(两个跨区块链转换服务)从钱包中清洗。

KLAYswap表示，在2月3日11:30至1:30的两个小时内，攻击者窃取了价值相当于22亿韩元(约190万美元)的各种加密货币资产。

KLAYswap上周表示:“发行时，据了解，共有325个(客户)钱包发生了407笔异常交易。

恶意代码只发送给了KLAYswap用户

S2W说，攻击者自己阻止了BGP劫持，为了避免触发使用Kakao SDK JavaScript文件的其他网站的警告，他们增加了一个过滤系统，只为KLAYswap服务的用户提供恶意版本。

由于不清楚攻击者对客户账户的访问级别，KLAYswap目前建议用户取消其服务对客户钱包的访问权限，将资金转移到新的钱包地址，并在操作完成后与服务重新同步。

该公司还建议用户重置他们的浏览器缓存，以防他们的浏览器可能会提供本地存储的仍然包含恶意代码的Kakao SDK版本。

这一事件也标志着BGP劫持第三次被用来追踪加密货币服务。

这第一次事故这类事件发生在2014年，当时一个威胁行为者劫持了各种加密货币采矿服务的BGP路由，而另一起事件发生在2018年，当时一名威胁者劫持了加密钱包服务MyEtherWallet的网站。

BGP攻击很少，因为它们很难在技术层面上实现，需要深入了解不同AS-es之间的关系，并且通常在服务开始宣布他们以前没有宣布过的新BGP路由时立即被检测到。