BGP Hijacking을 통한 Balancer Web Site 이용자들의 자산 탈취

AS(Autonomous System)

AS는 통합된 라우팅 정책을 가지고 있는 대규모 네트워크 또는 네트워크 그룹을 의미합니다.

예를 들어 패킷이 특정 IP 주소가 포함된 AS에 도달할 때까지 AS에서 AS를 통해 전달되며, IP 주소가 포함된 AS 내의 Router는 패킷을 IP 주소로 전달합니다.

일반적으로 AS는 ISP, 대기업 기술 회사, 대학, 정부 기관 등 대규모 조직에서 운영됩니다.

BGP(Border Gateway Protocol)

BGP는 Internet의 Routing Protocol로 한 IP 주소에서 다른 IP 주소로 최대한 효율적으로 이동할 수 있는 경로를 제공합니다. 각 BGP 라우터는 AS 간의 최적 경로가 포함된 Routing Table을 보유하고 있습니다.

Domain Name System(DNS) Server와의 차이는 DNS Server는 특정 도메인의 IP 주소를 제공하지만, BGP는 해당 IP 주소에 도달하는 가장 효율적인 방법을 제공한다고 볼 수 있습니다.

BGP Hijacking

각 BGP Router들은 AS의 Routing Table Update 요청을 무조건적으로 신뢰합니다.

만약 공격자들이 AS 관리자를 해킹하거나 AS를 침투할 경우, BGP에 AS의 Routing Table Update 요청을 함으로써 Hijacking을 달성할 수 있습니다.

BGP Hijacking을 통하여 A 사이트로 이동되어야 할 요청을 악의적인 B 사이트로 이동시킬 수 있습니다. Balancer 해킹도 신뢰할 수 있는 도메인 등록 기관이었던 EuroDNS가 사회공학적 기법에 당하면서, 사고가 발생했다고 합니다.

9월 20일 Balancer 재단에서 자신의 웹 사이트가 공격을 받고 있다는 트윗을 올렸습니다.

해당 공격으로 인해 238,000달러의 달하는 가상자산이 탈취당했다고 합니다.

SlowMist의 트윗에서 공개한 3개의 Address를 분석하던 도중 2개의 Address 추가 발견하여 총 5개의 Address를 확인할 수 있었습니다.

현재까지 확인된 정보만을 기준으로 봤을 때, 재단 입장에서는 약간 억울할 수 있는 해킹 사고인 것 같습니다. 재단이 아닌 EuroDNS가 털려 발생한 사고라고 볼 수 있으니깐요. 물론 재단도 잘못이 많이 있습니다.

이러한 사고들을 보면서 기업이 완벽하게 대처해주면 너무 좋겠지만, 완벽하게 대처해주기만을 기다리면 안된다는 생각이 자주 드는 것 같습니다.

최근들어 BGP Hijacking을 통한 가상 자산 탈취 사례(e.g. 22년 KLAYswap Hacking)가 증가하고 있고 공격에 당하면, 도메인은 정상이지만 실제 악의적인 서버로 이동되었을 수 있습니다.

사고를 예방하기 위해서는 사용자들도 가상자산 전송 시 올바른 주소로 가는 것이 맞는 지 한 번 더 확인이 필요할 것 같습니다. 내가 입력한 도메인이 맞더라도요.

23년 10월 7일, Stars Arena Drained of $3M (0)	2023.10.09
23년 9월 12일, CoinEX Hacking 사고 분석 (0)	2023.09.30
Upbit의 Aptos를 사칭한 Scam Token 입금 반영 사고 분석 (0)	2023.09.24
EOSIO 기반 Mainnet의 Smart Cotract WASM(Web Assembly) 보는 방법 (0)	2023.09.04
[2차 포스팅] PEPE Token의 Rug Pull 분석 (0)	2023.08.26

Hack_SMS