TLDR

  • Mehrere DeFi-Protokolle, darunter Compound Finance und Celer Network, waren Ziel eines DNS-Hijacking-Angriffs.

  • Der Angriff zielt offenbar auf über Squarespace registrierte Domänen ab.

  • Über 220 DeFi-Protokoll-Frontends könnten immer noch gefährdet sein.

  • Es wird angenommen, dass die Angreifer das Inferno Drainer Wallet Kit verwenden, um Geld zu stehlen.

  • Um zukünftige Angriffe zu verhindern, wurden einige Sicherheitsmaßnahmen vorgeschlagen, etwa die Anforderung von Wallet-Signaturen für DNS-Updates.

Am 11. Juli 2024 wurden mehrere dezentrale Finanzprotokolle (DeFi) von einem DNS-Hijacking-Angriff getroffen. Der Vorfall betraf wichtige Akteure im Kryptobereich, darunter Compound Finance und Celer Network.

Sicherheitsexperten gehen davon aus, dass der Angriff auf Domänen abzielt, die über Squarespace registriert sind, einen beliebten Website-Builder und eine Hosting-Plattform.

Der Angriff wurde erstmals bemerkt, als Benutzer meldeten, dass die Compound Finance-Website (compound.finance) auf eine bösartige Seite umleitete.

Diese gefälschte Seite enthielt eine „Drainer“-App, die darauf ausgelegt war, Kryptowährungstoken von Benutzern zu stehlen. Kurz darauf gab Celer Network bekannt, dass es ebenfalls Ziel eines Angriffs war, sein Domänenüberwachungssystem den Angriff jedoch abgefangen hatte, bevor er erfolgreich sein konnte.

Das Blockchain-Sicherheitsunternehmen Blockaid hat die Situation genau beobachtet. Laut Ido Ben-Natan, Mitbegründer und CEO von Blockaid, zielten die Angreifer auf DNS-Einträge ab, die auf Squarespace gehostet werden. Diese Einträge wurden auf IP-Adressen umgeleitet, die für böswillige Aktivitäten bekannt sind.

⚠Aktuelle Situation – Mehrere DeFi-Frontends laufen Gefahr, gekapert zu werden. Zu einigen Vorfällen kam es bereits. Projekte wie @compoundfinance und @CelerNetwork wurden in den letzten 24 Stunden gehackt.

Wir werden diesen Thread fortlaufend mit Details aktualisieren. pic.twitter.com/iWQR0ByIgB

— Blockaid (@blockaid_) 11. Juli 2024

Ben-Natan erklärte, dass das volle Ausmaß der Entführung noch nicht bekannt sei, aber etwa 228 DeFi-Protokoll-Frontends immer noch gefährdet sein könnten.

Der Angriff soll das Werk einer Gruppe namens Inferno Drainer sein. Diese Gruppe ist seit einiger Zeit aktiv, zielt auf verschiedene DeFi-Protokolle ab und nutzt unterschiedliche Schwachstellen aus.

Mit ihrem Wallet-Kit können Cyberkriminelle Benutzer dazu verleiten, böswillige Transaktionen zu unterzeichnen, und den Angreifern so die Kontrolle über ihre digitalen Assets geben.

Sicherheitsforscher haben eine von der Inferno Drainer-Gruppe verwendete gemeinsame Infrastruktur identifiziert, wodurch sich damit verbundene Angriffe leichter verfolgen und identifizieren lassen.

Blockaid hat eng mit der Krypto-Community zusammengearbeitet, um einen offenen Kanal für die Meldung kompromittierter Websites aufrechtzuerhalten.

Der Vorfall hat Diskussionen über die Verbesserung der Sicherheitsmaßnahmen für DeFi-Protokolle ausgelöst. Matthew Gould, Gründer des Web3-Domain-Anbieters Unstoppable Domains, schlug vor, verifizierte On-Chain-Einträge für Domains zu erstellen. Dies würde eine zusätzliche Schutzebene für Browser und andere Systeme hinzufügen und dazu beitragen, das Risiko von DNS-Angriffen zu verringern.

Gould schlug außerdem eine neue Funktion vor, bei der DNS-Updates eine Signatur aus der Wallet des Benutzers erfordern würden. Dies würde es Hackern deutlich schwerer machen, da sie sowohl den Registrar als auch die Wallet des Benutzers separat kompromittieren müssten.

Als Reaktion auf den Angriff haben mehrere Kryptoprojekte und -plattformen Maßnahmen ergriffen. MetaMask, ein beliebtes Web3-Wallet, gab bekannt, dass es daran arbeitet, Benutzer vor potenziell kompromittierten Apps zu warnen, die mit dem Angriff in Verbindung stehen.

Benutzer, die versuchen, auf einer bekannten, am aktuellen Angriff beteiligten Site Transaktionen durchzuführen, erhalten eine Warnung von Blockaid.

Wenn Sie MetaMask verwenden, wird Ihnen eine Warnung von @blockaid_ angezeigt, wenn Sie versuchen, auf einer bekannten Site, die an diesem aktuellen Angriff beteiligt ist, Transaktionen durchzuführen.#mmsecurityhttps://t.co/Fk0sAjaeit

– MetaMask ???????? (@MetaMask) 11. Juli 2024

Die Krypto-Community hat sich zusammengeschlossen, um das Bewusstsein zu schärfen und den potenziellen Schaden zu minimieren. Der DefiLlama-Entwickler 0xngmi hat eine Liste mit über 100 DeFi-Protokollen veröffentlicht, die von dem Angriff betroffen sein könnten, darunter bekannte Namen wie Pendle Finance, dYdX, Polymarket und LooksRare.

Der Beitrag „DNS-Hijacking-Angriff zielt auf mehrere DeFi-Protokolle“ erschien zuerst auf Blockonomi.