9月20日消息,据慢雾区情报,目前针对DeFi流动性协议Balancer的BGP攻击还在持续进行,请暂时停止访问Balancer的网站,避免遭受攻击。目前已发现3个恶意地址,分别为0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000,0x645710Af050E26bB96e295bdfB75B4a878088d7E,0x0000626d6DC72989e3809920C67D01a7fe030000。

慢雾安全团队对本次事件分析称:

1.查询域名Balancer的DNS解析记录,A记录中地址为104.21.37.47和172.67.203.244。这两个IP地址的所属BGP AS区域号为AS13335,并且该AS属于CloudFlare。

2.根据CloudFlare的记录显示,AS13335正在BGP Origin Hijack攻击的AS列表中。

3.发现Balancer的HTTPS证书被更换为攻击者的证书。

4.目前访问Balancer网页时会收到CloudFlare的钓鱼安全提醒。

5.经过分析,Balancer的前端存在恶意JavaScript代码。

6.用户使用钱包连接Balancer前端时恶意脚本会自动判断余额并进行钓鱼攻击。