Зафиксирована вторая атака на сервисы криптокошельков, вероятно проведённая с использованием BGP. На этот раз злоумышленникам удалось перенаправить на подставной сайт часть пользователей финансового сервиса Trezor, предоставляющего аппаратное устройство для локального хранения ключей от кошельков с различными криптовалютами и унифицированный интерфейс для работы с кошельками.

В ответ на попытки определения имени хоста wallet.trezor.io некоторым пользователям какое-то время выдавался IP-адрес клона сайта Trezor Wallet, на котором при попытке входа выводилось сообщение о повреждении данных в хранилище с предложением ввести последовательность для восстановления доступа к кошельку. В случае ввода кода, злоумышленники получали полный контроль за ключами к криптовалютам, размещённым в хранилище Trezor (wallet.trezor.io предоставляет web-интерфейс для доступа к подключенному к системе пользователя аппаратному хранилищу ключей).

Судя по опубликованной разработчиками Trezor информации, все признаки указывают на то, что как и при проведении апрельской атаки на MyEtherWallet, для организации фишинга использовалась подстановка фиктивного маршрута в BGP, благодаря которой удалось перенаправить трафик подсетей с DNS-серверами Trezor на подконтрольный атакующим сервер, на котором была организована MiTM-атака по подмене ответов DNS. Не исключается также применение целевых атак на DNS-серверы крупных провайдеров для организации выдачи ложного IP через отравление кэша DNS.

Атака была зафиксирована в выходные, после того как от пользователей стали поступать сообщения о применении некорректного SSL-сертификата на сайте wallet.trezor.io (атакующие использовали самоподписанный сертификат, для которого выдавалось предупреждение в браузере). Информации о размере нанесённого в ходе атаки ущерба пока нет, анализ инцидента ещё не завершён и окончательно метод подмены результатов обращения к DNS пока не ясен (наиболее вероятным называется подстановка маршрутов BGP, но никаких деталей и подтверждений от сервисов мониторинга BGP пока нет).