dYdX zveřejnilo podrobnou posmrtnou zprávu o hacku účtu Squarespace, kde nastiňuje události a jejich reakce.
dYdX, prominentní kryptoburza, oznámila 23. července, že její web verze 3.0 byl napaden.
Registrátor domény https://t.co/Ym1dFLMmm5 (dříve Squarespace) potvrdil, že 23. července byl účet Squarespace společnosti dYdX Trading zpřístupněn neoprávněným osobám poté, co úspěšně vytvořili sociální podporu pro zákazníky Squarespace.
— dYdX (@dYdX) 25. července 2024
Uživatelům bylo doporučeno, aby až do odvolání nenavštěvovali stránky verze 3.0 ani neklikali na jakékoli odkazy. Tým však ujistil uživatele, že verze 4.0 zůstává nedotčena a funguje normálně.
dYdX zveřejnilo podrobnou posmrtnou zprávu o hacku účtu Squarespace, kde nastiňuje události a jejich reakce. Burza se rozhodla změnit registrátory domén a nadále spolupracuje se SEAL a dalšími partnery, aby předešla budoucím incidentům.
Webová stránka dYdX Exchange byla ohrožena útokem sociálního inženýrství
Podle pitvy k porušení došlo poté, co neoprávněné osoby přistoupily k účtu Squarespace společnosti dYdX Trading prostřednictvím útoku sociálního inženýrství na zákaznickou podporu Squarespace.
Během dvouhodinového únosu domény burzy přišli dva uživatelé o finanční prostředky v celkové výši přibližně 31 000 $. Společnost dYdX Trading je v kontaktu s dotčenými uživateli, aby zajistila, že budou kompenzováni.
V roce 2023 společnost Squarespace získala všechny domény od nyní již neexistující domény Google a během několika měsíců je migrovala. Doména dydx.exchange, kterou vlastní dYdX Trading, byla přesunuta do Squarespace 15. června 2024.
9. července útočníci získali přístup k doméně dydx.exchange a upravili DNS nameservery z Cloudflare na DDoS-Guard.
Tento počáteční útok byl zmírněn nastavením DNSSEC, které uživatelům bránilo v přístupu na napadený web. DYdX problém rychle vyřešil pomocí rotace hesla a dvoufaktorové autentizace (2FA).
Po zprávách o podobných útocích na krypto-specifické domény zahájil SEAL, bezpečnostní tým zaměřený na kryptoměny, vyšetřování. Bylo zjištěno, že byla zneužita zranitelnost OAuth na Squarespace, kterou Squarespace řešil a opravoval 12. července.
Navzdory tomu byla doména dydx.exchange znovu kompromitována 23. července. Útočníkům se podařilo změnit DNS Nameservery a odstranit nastavení DNSSEC a hostit tak zákeřnou stránku, která přiměla uživatele k přenosu tokenů Ethereum a ERC20.
Během tohoto období dYdX spolupracoval se SEAL a dalšími partnery na blokování škodlivých stránek na populárních kryptopeněženkách jako Metamask a Phantom. Navzdory těmto snahám přišli dva uživatelé během útoku o 31 000 dolarů.
dYdX Exchange obnovuje web po hacknutí účtu Squarespace
Pitva dále odhalila, že útočník nastavil e-mail správce domény na adresu končící na outlook.com s uživatelským jménem podobným oficiálnímu jménu správce fakturace na účtu dYdX.
Po opětovném zabezpečení domény byly přidány další ovládací prvky, které zajistí, že se to už nikdy nestane, včetně migrace domény do Cloudflare.
— dYdX (@dYdX) 25. července 2024
To naznačovalo útok sociálního inženýrství, protože útočník použil uvěřitelnou e-mailovou adresu.
Podle dYdX její komunikace se Squarespace odhalila, že převzetí iniciovala lidská chyba během procesu obnovy účtu.
Útočník obešel 2FA a upravil e-mail účtu, aniž by poskytl platné bezpečnostní údaje. Zákaznický servis Squarespace se před provedením těchto změn nepokusil kontaktovat žádné další uvedené administrátory v doméně.
Web https://t.co/Ym1dFLLOwx byl obnoven společností dYdX Trading Inc.
Upozorňujeme, že váš počítač může stále ukládat kompromitovaný web do mezipaměti.
Před připojením k webu nezapomeňte vymazat mezipaměť a restartovat prohlížeč.
— dYdX (@dYdX) 23. července 2024
V reakci na útok převedl dYdX registraci své domény na Cloudflare, aby zvýšil bezpečnost. Převod byl urychlen a dokončen do šesti hodin.
Společnost dYdX potvrdila, že v důsledku incidentů nedošlo k žádným bezpečnostním problémům s jejími inteligentními smlouvami, backendovými systémy nebo řetězcem dYdX.
Tým dYdX uvedl sociální média X a doporučoval uživatelům, aby vymazali mezipaměť prohlížeče a restartovali prohlížeč před opětovným připojením k webu, aby se ujistili, že nemají přístup na napadený web.
