慢霧：Balancer正遭受BGP Hijacking攻擊

金色財經報道，據慢霧區情報，Balancer正遭受BGP Hijacking攻擊，訪問該網站鏈接錢包后會遭受釣魚攻擊。根據CloudFlare的BGP Origin Hijack-17957顯示，ASNs受害者列表中包含balancer所屬的AS13335。目前訪問該網站會收到CloudFlare的釣魚安全提醒。慢霧安全團隊對本次事件的分析：

1、查詢域名Balancer的DNS解析記錄，A記錄中地址為104.21.37.47和172.67.203.244。這兩個IP地址的所屬BGP AS區域號為AS13335，并且該AS屬于CloudFlare。

2、根據CloudFlare的記錄顯示，AS13335正在BGP Origin Hijack攻擊的AS列表中。

3、發現Balancer的HTTPS證書被更換為攻擊者的證書。

4、目前訪問Balancer會收到CloudFlare的釣魚安全提醒。

5、經過分析，app.balancer.fi的前端存在惡意的JavaScript代碼。

6、用戶使用錢包連接 app.balancer.fi惡意腳本會自動判斷余額并進行釣魚攻擊。

7、經過MistTrack分析，惡意地址如下：

0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000；

0x645710Af050E26bB96e295bdfB75B4a878088d7E；

0x0000626d6DC72989e3809920C67D01a7fe030000。

慢霧安全團隊提醒用戶，目前針對Balancer的BGP攻擊還在持續進行，請暫時停止訪問Balancer的網站，避免遭受攻擊。

其它快訊：

慢霧：Telegram機器人FriendSniperBot要求用戶直接導入私鑰，存在作惡風險:11月6日消息，慢霧首席信息安全官23pds在社交媒體上發文表示，名為FriendSniperBot的Telegram bot要求用戶直接導入私鑰，存在較大風險。

另據一社區成員反饋，該bot已經存在盜取用戶私鑰的先例，但23pds表示目前尚無相關確鑿證據，慢霧團隊正在持續跟進中。[2023/11/6 17:42:09]

動態 | 慢霧：10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示，過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊，手法包括但不限于：第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施，例如：1. 密切注意第三方 JS 鏈接風險；2. 提幣地址應為白名單地址，添加時設置雙因素校驗，用戶提幣時從白名單地址中選擇，后臺嚴格做好校驗。此外，也要多加注意內部后臺的權限控制，防止內部作案。[2019/11/1]

聲音 | 慢霧：使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息，近日，注意到撞庫攻擊導致用戶數字貨幣被盜的情況，具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測，同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為，被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全，但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系，且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致，這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]