Ein äußerst raffinierter Domain-Registry-Hack, der am 11. Juli auf verschiedene Distributed-Finance-Anwendungen (DeFi) abzielte, führte zu illegalen Benutzerumleitungen auf gefährliche Websites.

Der Hack betrifft wichtige DeFi-Protokolle wie Compound Finance und stellt eine Bedrohung für viele andere innerhalb des Ökosystems dar. Dabei werden hauptsächlich Domänennamen verwendet, die von Squarespace gehostet werden, einer weit verbreiteten Plattform zum Erstellen von Websites.

Von Angreifern veränderte DNS-Einträge

Die Angreifer änderten die DNS-Einträge und schickten Kunden, die auf autorisierte DeFi-Systeme zugreifen wollten, auf Phishing-Websites, die darauf abzielten, private Informationen und Vermögenswerte zu erfassen, und nicht umgekehrt.

Benutzer, die versuchten, die Compound Finance-Schnittstelle unter compound.finance zu verwenden, wurden auf eine gefälschte Website umgeleitet, auf der ein Drainer-Programm zum Token-Abschöpfen geladen war. Dadurch wurde das Problem erstmals sichtbar.

habe eine (unvollständige) Liste von Domains zusammengestellt, die mit Square Space verbunden sind und derzeit einem Hackerrisiko ausgesetzt sind. Ich würde sie vorerst meiden: https://t.co/Cih5YTgFL9

– 0xngmi (@0xngmi), 11. Juli 2024

Die Domain von Celer Network wurde bei einem vergleichbaren Vorfall ebenfalls angegriffen. Die Überwachungssysteme von Celer Network konnten den Angriff jedoch erfolgreich stoppen, bevor Schaden entstehen konnte.

Celer Network meldete den DNS-Angriff um 13:38 Uhr UTC; Blockaid, eine Blockchain-Sicherheitsplattform, hatte bis 15:38 Uhr UTC bestätigt, dass die geänderten DNS-Einträge zahlreiche auf Squarespace gehostete DeFi-Frontends betrafen.

Diese Ereignisse haben eine heftige Debatte über die Sicherheitsmängel von DeFi-Apps ausgelöst, die auf herkömmlicher Web2-Architektur basieren. Sicherheitsexperten gehen davon aus, dass der Angriff von Google-Domänenkonten ausging, die von diesen DeFi-Plattformen verwendet werden.

Nach dem Kauf von Google Domains durch Squarespace für 180 Millionen US-Dollar werden alle verlinkten Websites nun genauer unter die Lupe genommen.

Liste der potenziell betroffenen Protokolle

Anschließend hat 0xngmi, der Ersteller von DefiLlama, über 100 möglicherweise betroffene DeFi-Protokolle zusammengestellt. Bemerkenswerte Namen auf dieser Liste waren Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana und LooksRare.

Pendle Finance riet den Nutzern, die App nicht zu verwenden, da der Missbrauch nachgewiesen wurde und die Seite kurzzeitig gesperrt wurde, um eine weitere Nutzung zu verhindern. Das Guthaben blieb jedoch sicher.

Während Celer den Angriff im Vorfeld erkennen und stoppen konnte, bestätigte Compound, dass ihre Domain gehackt worden war, was zu einer Weiterleitung auf eine betrügerische Site führte.

Sowohl Compound Finance als auch Celer haben die DNS-Übernahme erkannt. Beide Unternehmen untersuchen trotz dieser Maßnahmen immer noch das gesamte Ausmaß des Hacks.

Metamask-Warnung

Als Reaktion darauf hat der bekannte Web3-Wallet-Anbieter MetaMask Alarme für Verbraucher eingerichtet, die Transaktionen auf gehackten Websites durchführen. Dieses Tool soll die Benutzer auf mögliche Bedrohungen aufmerksam machen und so das Risiko eines Token-Diebstahls verringern.

Darüber hinaus wird der Community empfohlen, jegliche Interaktion mit DeFi-Apps, die auf Squarespace-Domains gehostet werden, zu vermeiden, bis die Gefahr vollständig neutralisiert ist, um den Diebstahl von Vermögenswerten zu verhindern.

Laufende Bedrohungen und notwendige Vorsichtsmaßnahmen

Weder Celer Network noch Compound Finance haben im Laufe der Entwicklung der Situation anerkannt, dass die Bedrohung vollständig beseitigt wurde. Obwohl noch kein Diebstahl von Geldern verzeichnet wurde, ist eine erhöhte Aufmerksamkeit dennoch ziemlich wichtig.

Diese aktuelle Episode unterstreicht die dringende Notwendigkeit starker Sicherheitsmechanismen und passt zu einem Trend wachsender Risiken im Web3-Bereich.

Frühere Ereignisse wie der 70 Millionen Dollar schwere Hackerangriff auf Curve Finance und die Einschleusung von Schadcode in die Ledger Connect-Bibliothek im Dezember, die praktisch das gesamte Ökosystem der Ethereum Virtual Machine beeinträchtigten, zeigen den anhaltenden und sich verändernden Charakter dieser Bedrohungen.

Als mögliche Wege zur Stärkung des Krypto-Ökosystems gegen solche Schwachstellen werden Initiativen wie der Telegram-Bot SEAL 911 und Sicherheitsräte mit Branchenakteuren wie Coinbase diskutiert.

Der Beitrag „DeFi unter Beschuss: Ausgefeiltes Domain-Hijacking aufgedeckt“ erschien zuerst auf Coinfomania.