dYdX, eine bekannte Kryptobörse, gab am 23. Juli bekannt, dass ihre Website Version 3.0 kompromittiert worden sei.
Benutzern wurde geraten, bis auf Weiteres den Besuch der Website mit Version 3.0 oder das Anklicken von Links zu vermeiden. Das Team versicherte den Benutzern jedoch, dass Version 4.0 davon nicht betroffen ist und normal funktioniert.
dYdX hat eine ausführliche Post-Mortem-Analyse zum Hack des Squarespace-Kontos veröffentlicht, in der die Ereignisse und die Reaktionen beschrieben werden. Die Börse hat beschlossen, den Domain-Registrar zu wechseln und arbeitet weiterhin mit SEAL und anderen Partnern zusammen, um zukünftige Vorfälle zu verhindern.
dYdX-Exchange-Website durch Social-Engineering-Angriff kompromittiert
Der Obduktion zufolge ereignete sich der Verstoß, nachdem sich unbefugte Personen durch einen Social-Engineering-Angriff auf den Squarespace-Kundensupport Zugriff auf das Squarespace-Konto von dYdX Trading verschafft hatten.
Während der zweistündigen Entführung der Börsendomäne verloren zwei Benutzer Gelder im Gesamtwert von etwa 31.000 $. dYdX Trading steht mit den betroffenen Benutzern in Kontakt, um sicherzustellen, dass sie entschädigt werden.
Im Jahr 2023 erwarb Squarespace alle Domänen von den inzwischen nicht mehr existierenden Google Domains und migrierte sie über mehrere Monate. Die Domäne dydx.exchange, die dYdX Trading gehört, wurde am 15. Juni 2024 zu Squarespace verschoben.
Am 9. Juli verschafften sich Angreifer Zugriff auf die Domäne dydx.exchange und änderten die DNS-Nameserver von Cloudflare auf DDoS-Guard.
Dieser erste Angriff wurde durch DNSSEC-Einstellungen abgeschwächt, die den Zugriff der Benutzer auf die kompromittierte Site verhinderten. DYdX löste das Problem schnell durch Passwort- und Zwei-Faktor-Authentifizierungsrotationen (2FA).
Nach Berichten über ähnliche Angriffe auf kryptospezifische Domänen leitete SEAL, ein auf Krypto spezialisiertes Sicherheitsteam, eine Untersuchung ein. Dabei wurde festgestellt, dass eine OAuth-Sicherheitslücke bei Squarespace ausgenutzt worden war. Squarespace behob diese am 12. Juli.
Trotzdem wurde die Domäne dydx.exchange am 23. Juli erneut kompromittiert. Den Angreifern gelang es, die DNS-Nameserver zu ändern und die DNSSEC-Einstellungen zu entfernen, wodurch eine bösartige Site gehostet wurde, die Benutzer dazu verleitete, Ethereum- und ERC20-Token zu übertragen.
Während dieser Zeit arbeitete dYdX mit SEAL und anderen Partnern zusammen, um bösartige Websites auf beliebten Krypto-Wallets wie Metamask und Phantom zu blockieren. Trotz dieser Bemühungen verloren zwei Benutzer während des Angriffs 31.000 US-Dollar.
dYdX Exchange stellt Website nach Squarespace-Konto-Hack wieder her
Die Obduktion ergab außerdem, dass der Angreifer die E-Mail-Adresse des Domänenadministrators auf eine Adresse mit der Endung outlook.com eingestellt hatte, mit einem Benutzernamen, der dem gesetzlichen Namen des Abrechnungsadministrators auf dem Konto von dYdX ähnelte. Dies deutete auf einen Social-Engineering-Angriff hin, da der Angreifer eine glaubwürdige E-Mail-Adresse verwendete.
Laut dYdX ergab die Kommunikation mit Squarespace, dass die Übernahme während des Kontowiederherstellungsprozesses durch einen menschlichen Fehler ausgelöst wurde.
Der Angreifer umging die 2FA und änderte die E-Mail-Adresse des Kontos, ohne gültige Sicherheitsanmeldeinformationen anzugeben. Der Kundendienst von Squarespace versuchte nicht, andere in der Domäne aufgeführte Administratoren zu kontaktieren, bevor er diese Änderungen vornahm.
Als Reaktion auf den Angriff übertrug dYdX seine Domänenregistrierung zur Erhöhung der Sicherheit auf Cloudflare. Die Übertragung wurde beschleunigt und innerhalb von sechs Stunden abgeschlossen.
dYdX bestätigte, dass es infolge der Vorfälle keine Sicherheitsprobleme mit seinen Smart Contracts, Backend-Systemen oder der dYdX-Kette gab.
Das dYdX-Team hat Social Media X aufgerufen und den Benutzern geraten, den Browser-Cache zu leeren und den Browser neu zu starten, bevor sie sich erneut mit der Website verbinden, um sicherzustellen, dass sie nicht auf die kompromittierte Site zugegriffen haben.
