BGP协议与攻击背景

BGP（边界网关协议）是互联网自治系统（AS）间路由的核心协议。2022年8月，黑客通过操纵AS209243（英国运营商quickhost.uk）广播虚假路由，劫持了亚马逊AS16509管理的256个IP地址（44.235.216.0/24段），持续时间达3小时。

技术攻击链分析

1. 路由劫持阶段

   • 攻击者伪造AS路径，使流量经恶意AS14618路由
   • 通过BGP Updates撤回亚马逊合法路由（图10）
   • Hurricane Electric监控显示异常bogon路由广播（图6）

2. 证书窃取

   • 利用劫持的44.235.216.69 IP（原属celer.network）
   • 向拉脱维亚CA机构GoGetSSL成功申请TLS证书（图2）
   • 推测通过DNS TXT记录验证或服务器漏洞实现域名控制

3. 智能合约攻击

   • 部署恶意合约替换cBridge跨链桥接口（图1）
   • 3小时内窃取32笔交易共计234,866美元
   • 最大单笔损失达156,000美元（图11）

取证与溯源

• SlowMist团队通过日志定位攻击IP：54.84.236.100
• Censys平台显示证书与IP关联异常（图3/4）
• BGP Play记录确认AS16509路由被恶意撤回（图9）

技术启示

1. BGP协议固有缺陷：缺乏路由验证机制
2. CA证书颁发流程漏洞：IP控制即视为所有权证明
3. 区块链应用特殊风险：智能合约不可逆性放大损失

数据来源：
Ars Technica事件报道 | Coinbase技术分析