ARP-атака: в этом году украдено 1,64 миллиона долларов, ваш Кошелек может быть следующим

Свежие данные впечатляют: только на двух публичных цепочках BSC и ETH количество атак с отравлением ARP превысило 290000 и 40000 соответственно, более 186000 независимых адресов пострадали, а сумма убытков составила 1,64 миллиона долларов. Эта волна атак началась в середине ноября и продолжается до сих пор.

Как происходит атака? Проще говоря, это три шага.

Первый шаг: Злоумышленник отправляет поддельное сообщение ARP в вашу сеть, утверждая, что его MAC-адрес соответствует какому-либо законному IP-адресу.

Шаг 2: Ваше устройство считывает это как правду и перенаправляет весь целевой трафик на злоумышленника

Шаг 3: Нападающий перехватывает, изменяет или напрямую блокирует вашу транзакцию

Протокол ARP был разработан в 1982 году, и тогда совершенно не учитывались вопросы безопасности — он не проверяет подлинность сообщений, любое устройство может выдать себя за любое. Этот исторический недостаток сейчас активно используется хакерами.

Ончейн производительность: 0 долларов за перевод - это ловушка

Анализ цепи BSC с помощью X-explore обнаружил странный шаблон: злоумышленник инициирует несколько транзакций с использованием перевода в 0 долларов. Жертва A нормально переводит 452 BSC-USD пользователю B, в то время как пользователь B внезапно получает перевод в 0 долларов от злоумышленника C, а жертва A также вынуждена перевести 0 долларов злоумышленнику C — это называется «обратный перевод», который кажется безобидным, но права доступа уже были захвачены.

Два наиболее распространенных типа атак

Атака посредника (MiTM): самый опасный вид. Злоумышленник выдает себя за ваш шлюз, весь трафик жертвы перенаправляется на машину злоумышленника.

Отказ в обслуживании (DoS): злоумышленник связывает несколько сотен или даже тысяч IP-адресов с одним MAC-адресом, тем самым выводя из строя ваше устройство или всю сеть.

Как спасти себя? Пять защитных мер

1. Статическая ARP таблица: ручное связывание MAC и IP, но управленческие затраты огромны
2. Защита от обменников: с помощью динамического обнаружения ARP (DAI) автоматически фильтруются подозрительные пакеты
3. Физическая изоляция: контроль доступа в сеть, злоумышленник должен находиться в вашей локальной сети.
4. Сегментация сети: разместите важные ресурсы в отдельных безопасных сегментах
5. Шифрованная связь: Хотя невозможно предотвратить атаки, можно уменьшить ущерб.

Рекомендации по минимуму

Кошелек должен обновить механизм предупреждения о рисках — пользователи должны видеть четкие предупреждения о угрозах ARP до перевода, а не узнавать об этом только после того, как их обманут. Эта волна атак продолжается, 94 адреса уже были использованы в мошенничестве, следующим можешь быть ты.