曲速未来 披露:对加密货币交换gate.io供应链攻击
区块链安全咨询公司 曲速未来 消息:11月3日,攻击者成功攻击了领先的网络分析平台StatCounter。许多网站管理员都使用此服务来收集访问者的统计信息 - 这项服务与Google Analytics非常相似。为此,网站管理员通常会在每个网页中添加一个外部JavaScript代码,其中包含来自StatCounter的一段代码 - www.statcounter[.]com/counter /counter.js。因此,通过破坏StatCounter平台,攻击者可以在使用StatCounter的所有网站中注入JavaScript代码。
根据他们的网站,StatCounter拥有超过200万个会员网站,它每月的页面浏览量超过100亿次。这些信息符合其Alexa排名略高于5000.相比之下,Debian Linux发行版的官方网站debian.org具有类似的Alexa排名。
攻击者修改的脚本在www.statcounter[.]COM/计数器/counter.js通过加入一块恶意代码,在“美化”下面表格中所示,在脚本的中间。这是不寻常的,因为攻击者通常会在合法文件的开头或结尾添加恶意代码。注入现有脚本中间的代码通常难以通过随意观察来检测。
该脚本包含Dean Edwards打包器,这可能是最受欢迎的JavaScript打包器。但是,它可以简单地解压缩,从而导致运行实际的脚本代码,如下所示。
这段代码将首先检查URL是否包含myaccount/withdraw/BTC。因此,可以猜测攻击者的目标是以比特币平台为目标。如果检查通过,脚本将继续向网页添加新的脚本元素,并将代码合并到https://www.statconuter [.] com/c.php。
请注意,攻击者注册的域名非常类似于Statcounter,statcounter [.] com。他们刚刚切换了两个字母,在扫描日志以查找异常活动时很难注意到。有趣的是,通过检查域的被动DNS,可以注意到该域已于2010年因滥用而被暂停。
如上所述,脚本以特定的统一资源标识符(URI)为目标:myaccount / withdraw / BTC。事实证明,在写入时不同的加密货币交换中,只有gate.io具有带有此URI的有效页面。因此,这种交换似乎是这次袭击的主要目标。这种交流非常受欢迎,在中国的Alexa排名为26,251甚至8,308。
此外,根据coinmarketcap.com,数百万美元,包括160万美元的比特币交易,每天都在运送这个平台。因此,攻击者在这个平台上大规模窃取加密货币可能是非常有利可图的。
网页https://www.gate [.] io/myaccount/withdraw/BTC,如下所示,用于将比特币从gate.io帐户转移到外部比特币地址。
或许不令人吃惊,事实证明,在第二阶段的有效载荷,从statconuter[.]COM/c.php,被设计成窃取比特币。因此,将脚本注入gate.io比特币转移网页是有意义的。这个脚本也包含Dean Edwards打包器。解压缩版本如下所示。
在真正的gate.io网页中,已经有一个doSubmit函数,当用户点击提交按钮时调用,但攻击者在这里重新定义它。
该脚本会自动使用属于攻击者的地址替换目标比特币地址,例如1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad。每次访问者加载statconuter[.]com/c.php脚本时,恶意服务器都会生成一个新的比特币地址。因此,很难看出有多少比特币已转移给攻击者。
根据受害者是否输入超过10 BTC的金额,攻击者的脚本将使用它或使用受害者帐户的每日提款限额。在这个测试帐户中,默认情况下,提款限额设置为100 BTC。最后,恶意脚本提交表单,该表单执行从受害者帐户到攻击者钱包的转移。
这种重定向可能对受害者来说不明显,因为替换是在他们点击提交按钮后执行的。因此,它会很快发生,甚至可能不会显示。
由于每次将恶意脚本发送给受害者时都会生成一个新的比特币地址,是无法看到攻击者收集了多少比特币。例如,如果检查这次在测试机器上收到的地址,则余额为0 BTC。
结论
区块链安全咨询公司 曲速未来 提醒:即使不知道在这次攻击中有多少比特币被盗,它也会显示攻击者攻击一个特定网站的距离,特别是加密货币交换。为了实现这一目标,他们破坏了分析服务的网站,该网站被超过200万个其他网站(包括几个与政府相关的网站)用于从一个加密货币交换网站的客户那里窃取比特币。
它还表明,即使网站已更新并受到良好保护,但它仍然容易受到最薄弱的链接的影响,在这种情况下,该链接是外部资源。这是另一个提醒,外部JavaScript代码由第三方控制,是可以随时修改的。
本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。
曲速未来 披露:对加密货币交换gate.io供应链攻击相关推荐
- 如何构建一个加密货币交换应用程序将要花费多少钱
你可能听说过加密货币世界最近的趋势.毕竟,现在每个人都在"挖矿".然而,没有足够的gpu来满足需求. 即使对那些不懂科技的人来说,加密货币也是可以实现的.在某种程度上,人们发现了以 ...
- 俄罗斯能源巨头:未来可能需要使用加密货币购买石油
点击上方 "蓝色字" 可关注我们! 暴走时评: 根据Snob.ru 6月6日的一份报告,俄罗斯石油公司(Rosneft)的负责人并未排除将来使用加密货币支付石油费用的可能性. Ig ...
- 曲速未来 披露:由macOS NFS客户端中的缓冲区溢出引起的内核RCE
区块链安全咨询公司 曲速未来 消息:有安全人员在Apple的macOS操作系统内核中发现的几个堆栈和堆缓冲区溢出.Apple将这些漏洞归类为内核中的远程代码执行漏洞,因此它们非常严重.攻击者可能会利用 ...
- Poloniex加密货币交换泄露数据,建议数据安全从SSL证书做起
在社交媒体数据泄露后,Poloniex cryptocurrency exchange已强制为帐户持有人重置密码. 一种非常常见的诈骗形式被称为网络钓鱼,欺诈者会发送欺诈性电子邮件,同时伪装成合法公司 ...
- 网络分析平台StatCounter被黑客攻破,Gate.io加密货币交易所受牵连
据报道,攻击者在11月3日成功攻破了在业内处于领先地位的StatCounter网络分析平台,并在公司的主要网站跟踪脚本中插入了一段恶意代码,而加密货币交易所Gate.io似乎成为了唯一的受害者. St ...
- 俄罗斯央行:犯罪分子很少使用加密货币来回笼资金
点击上方"蓝色字"可关注我们! 暴走时评:据该国央行称,在俄罗斯,欺诈者很少使用加密货币来提取被盗资金.俄罗斯银行信息安全部第一副主任Artem Sychev告诉TASS,央行监督 ...
- 烤仔看世界 | 后苏联时代隐秘的加密货币繁荣(下)
烤仔看世界 烤仔将通过翻译海外权威媒体.作者们有趣.有料的文章,与你分享区块链.金融.科技等行业的逸闻趣事,为你定格全世界的精彩.来和烤仔一起涨姿势,看世界吧! 作者: 汉娜·露辛达·史密斯(Hann ...
- 【张其中】中本聪,我们究竟需要怎样的加密货币?
作者介绍:张其中,中科院硕士,连续创业者,乐家app创始人,花猫快问联合创始人,链宝科技联合创始人,关注EOS公链生态发展,致力于基于EOS的DAPP应用实践与产品研究. 这篇文章早该写了,没写的原因 ...
- Brex联合创始人:可能将加密货币纳入资产负债表
据cryptoinfoos消息,估值74亿美元的金融科技公司Brex启动加密货币奖励计划,涉足加密货币领域.Brex帮助企业管理其金融产品(例如公司信用卡和费用管理系统).以前,诸如Airbnb和Ca ...
最新文章
- 最全中文leetcode解题攻略:思路知识点代码...搞定AI大厂笔试
- Merge Into 语句代替Insert/Update在Oracle中的应用实战
- mysql中语句块当事务,MySQL事务与隔离级别
- golang 数组 最后一个_Golang 内存管理
- mysql 复制 错误_Mysql复制错误error
- 基于JAVA+SpringMVC+Mybatis+MYSQL的校园失物招领系统
- Mongodb在windows下通过配置文件配置和访问
- 法斗几个月长鼻筋_带锯罢工了,木工小哥检查问题出在哪里?分享带锯使用九个月感受...
- mapminmax 用法
- 【深度学习】CNN+Transformer汇总
- Bouncing Ball
- Jboss RichFaces + Skin的简单运用示例代码
- 房屋出租系统(第一版)
- 浅谈Zebra斑马打印机三种打印方式的利弊
- OriginLab.OriginPro.v8.6.SR3.Cracked-EAT
- echarts仪表盘
- 06-20210224华为海思Hi3518EV300鸿蒙系统的uboot编译
- 20 个关于程序员的笑话,看懂了,你就不会羡慕工资高了!
- 工件带磁后对工作造成的影响
- 设计新奇的充电器,能搭积木还支持多口快充,IDMIX积木桌面充电器上手