KLAYswap (Криптовалютная биржа)

Компания

KLAYswap (Криптовалютная биржа)
СМ. ТАКЖЕ (1)

KLAYSwap был разработан для функционирования в качестве среды с высокой ликвидностью. Его протоколы мгновенного обмена полностью выполняются по цепочке. Он подходит для долгосрочных инвесторов, стремящихся получать доход за счет комиссионных сборов, а также для краткосрочных инвесторов, заинтересованных в добыче управляющего токена KLAYSwap — KSP.

2022: Потеря $1,9 млн в результате хитроумного взлома цепочки поставок

15 февраля 2022 года стало известно, что злоумышленники похитили порядка $1,9 млн у южнокорейской криптовалютной платформы KLAYswap с помощью хитроумного взлома протокола BGP в серверной инфраструктуре одного из ее поставщиков.

Иллюстрация: securitylab.ru

Атаке подвергся южнокорейский мессенджер KakaoTalk 3 февраля 2022 года. Хакеры воспользовались техникой, известной как перехват BGP, которая обычно используется для перехвата интернет-маршрутов и переадресации пользователей на вредоносные сайты.

Атака на KLAYswap сильно отличается от типичных взломов криптовалютных бирж. Как правило, для того чтобы похитить деньги пользователей, злоумышленники взламывают либо учетную запись кого-то из сотрудников биржи, либо код самой платформы. Однако в случае с KLAYswap хакеры атаковали не саму биржу, а серверную инфраструктуру мессенджера KakaoTalk, использующегося биржей для маркетинга, а также для общения с пользователями, обратившимися в техподдержку.

Злоумышленники воспользовались автономной системой – системой IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами с единой политикой маршрутизации. Задачей автономной системы является «реклама» интернет-маршрутов, чтобы показать другим автономным системам, какие пространства IP-адресов принадлежат ей и какие домены в них можно обнаружить. На техническом уровне это происходит через маршруты BGP, которые автономные системы непрерывно передают друг другу.

С помощью поддельной автономной системы AS9457 злоумышленники «рекламировали» якобы принадлежащие ей IP-адреса, обслуживающие developers.kakao.com – домен, входящий в инфраструктуру разработки KakaoTalk и являющийся хостингом для официального Kakao SDK. Как сообщила ИБ-компания S2W, с помощью перехвата BGP хакеры распространяли вредоносную версию файла JavaScript SDK. Пользователи, желавшие загрузить этот файл с официального сайта KakaoTalk для разработчиков, получили вредоносную версию.

Вредоносный файл содержал в конце дополнительный код, который загружался в браузер пользователя и ждал, пока тот инициирует транзакцию на сайте KLAYswap. Обнаружив операцию, код перехватывал средства и отправлял их в кошелек хакеров, откуда они незамедлительно выводились через сервисы OrbitBridge и FixedFloat.

3 февраля в течение двух часов с 11:30 до 13:30 хакеры похитили криптовалютные активы на сумму в 2,2 млрд корейских вон (около $1,9 млн), после чего сами прекратили атаку.[1]

Примечания