慢雾：Balancer正遭受BGP Hijacking攻击

金色财经报道，据慢雾区情报，Balancer正遭受BGP Hijacking攻击，访问该网站链接钱包后会遭受钓鱼攻击。根据CloudFlare的BGP Origin Hijack-17957显示，ASNs受害者列表中包含balancer所属的AS13335。目前访问该网站会收到CloudFlare的钓鱼安全提醒。慢雾安全团队对本次事件的分析：

1、查询域名Balancer的DNS解析记录，A记录中地址为104.21.37.47和172.67.203.244。这两个IP地址的所属BGP AS区域号为AS13335，并且该AS属于CloudFlare。

2、根据CloudFlare的记录显示，AS13335正在BGP Origin Hijack攻击的AS列表中。

3、发现Balancer的HTTPS证书被更换为攻击者的证书。

4、目前访问Balancer会收到CloudFlare的钓鱼安全提醒。

5、经过分析，app.balancer.fi的前端存在恶意的JavaScript代码。

6、用户使用钱包连接 app.balancer.fi恶意脚本会自动判断余额并进行钓鱼攻击。

7、经过MistTrack分析，恶意地址如下：

0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000；

0x645710Af050E26bB96e295bdfB75B4a878088d7E；

0x0000626d6DC72989e3809920C67D01a7fe030000。

慢雾安全团队提醒用户，目前针对Balancer的BGP攻击还在持续进行，请暂时停止访问Balancer的网站，避免遭受攻击。

其它快讯：

慢雾：Coinbase Wallet用户需警惕钓鱼者利用消息网络协议XMPT进行钓鱼:金色财经报道，安全机构慢雾发布安全提醒表示，近期，Coinbase Wallet全面集成了Web3消息网络协议(XMPT)。只要用户的钱包地址开启了消息网络就可能会收到任何支持该消息协议发来的信息。慢雾发现许多钓鱼者利用此功能对钱包用户发带有钓鱼链接的信息。提醒相关钱包用户保持警惕，请勿点击不明链接。[2023/9/20 11:55:16]

慢雾: 警惕比特币RBF风险:据BitMEX消息，比特币于区块高度666833出现陈腐区块，并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看，双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

动态 | 慢雾：10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示，过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击，手法包括但不限于：第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施，例如：1. 密切注意第三方 JS 链接风险；2. 提币地址应为白名单地址，添加时设置双因素校验，用户提币时从白名单地址中选择，后台严格做好校验。此外，也要多加注意内部后台的权限控制，防止内部作案。[2019/11/1]

相关资讯