ARP-атака: цього року вкрадено 1 640 000 доларів, ваш Гаманець може бути наступним

Останні дані вражають: лише в мережах BSC та ETH кількість атак ARP перевищила 290 тисяч та 40 тисяч відповідно, понад 186 тисяч незалежних адрес постраждали, а загальні збитки становлять 1,64 мільйона доларів США. Ця хвиля атак почалася в середині листопада та продовжується досі.

Як відбувається атака? Простими словами, це три кроки

Перший крок: Зловмисник надсилає підроблене ARP-повідомлення у вашу мережу, стверджуючи, що його MAC-адреса відповідає певній легітимній IP-адресі.

Другий крок: твій пристрій вважає це правдою, перенаправляючи весь цільовий трафік на зловмисника

Третій крок: Зловмисник перехоплює, модифікує або безпосередньо блокує вашу транзакцію

Протокол ARP був спроектований у 1982 році, при цьому зовсім не було враховано питання безпеки — він не перевіряє достовірність повідомлень, будь-який пристрій може видавати себе за будь-кого. Ця історична вразливість сьогодні активно використовується хакерами.

Он-лінійні досягнення: переказ 0 доларів - це пастка

Аналіз ланцюга BSC X-explore виявив дивну модель: зловмисники використовують перекази по 0 доларів для здійснення багатьох транзакцій. Жертва A нормально переказує 452 BSC-USD користувачу B, в той же час користувач B раптово отримує переказ по 0 доларів від зловмисника C, а жертва A також змушена переказати 0 доларів зловмиснику C — це називається «переклад в обидва боки», здається безпечним, але повноваження вже були захоплені.

Найпоширеніші два типи атак

Атака посередника (MiTM): найбільш небезпечний вид. Зловмисник видає себе за ваш шлюз, а весь трафік жертви перенаправляється на машину зловмисника.

Відмова в обслуговуванні (DoS): Зловмисник відображає кілька сотень або навіть тисяч IP-адрес на одну MAC-адресу, що призводить до збою вашого пристрою або навіть усієї мережі.

Як врятуватися? П'ять запобіжних заходів

1. Статична таблиця ARP: ручне зв'язування MAC та IP, але управлінські витрати величезні
2. Захист комутатора: за допомогою динамічного ARP виявлення (DAI) автоматично фільтрувати підозрілі пакети
3. Фізична ізоляція: контроль доступу до мережі, зловмисник повинен бути в межах твоєї локальної мережі
4. Мережеве сегментування: розміщення важливих ресурсів в окремих безпечних сегментах
5. Криптозв'язок: хоча не можна запобігти атаці, але можна зменшити шкоду.

Рекомендації щодо основи

Гаманець повинен оновити механізм попередження про ризики — користувачі повинні бачити чіткі попередження про загрози ARP перед переказом, а не дізнаватися про це після того, як їх обдурили. Ця атака триває, 94 адреси вже стали жертвами шахрайства, наступним можеш бути ти.