TLDR

  • Múltiples protocolos DeFi, incluidos Compound Finance y Celer Network, fueron objeto de un ataque de secuestro de DNS.

  • El ataque parece estar dirigido a dominios registrados a través de Squarespace.

  • Más de 220 interfaces del protocolo DeFi aún pueden estar en riesgo.

  • Se cree que los atacantes están utilizando el kit de billetera Inferno Drainer para robar fondos.

  • Se han sugerido algunas medidas de seguridad, como exigir firmas de billetera para las actualizaciones de DNS, para evitar futuros ataques.

El 11 de julio de 2024, varios protocolos de finanzas descentralizadas (DeFi) se vieron afectados por un ataque de secuestro de DNS. El incidente afectó a los principales actores del criptoespacio, incluidos Compound Finance y Celer Network.

Los expertos en seguridad creen que el ataque está dirigido a dominios registrados a través de Squarespace, una popular plataforma de alojamiento y creación de sitios web.

El ataque se detectó por primera vez cuando los usuarios informaron que el sitio web de Compound Finance (compound.finance) estaba redireccionando a una página maliciosa.

Esta página falsa contenía una aplicación "drenadora" diseñada para robar los tokens de criptomonedas de los usuarios. Poco después, Celer Network anunció que también había sido atacado, pero su sistema de monitoreo de dominio detectó el ataque antes de que pudiera tener éxito.

La empresa de seguridad blockchain Blockaid ha estado siguiendo de cerca la situación. Según Ido Ben-Natan, cofundador y director ejecutivo de Blockaid, los atacantes apuntaron a registros DNS alojados en Squarespace. Estos registros fueron redirigidos a direcciones IP conocidas por actividades maliciosas.

⚠ Situación en desarrollo: múltiples interfaces DeFi corren el riesgo de ser secuestradas, y ya se han producido algunos incidentes, con proyectos como @compoundfinance y @CelerNetwork siendo pirateados en las últimas 24 horas.

Actualizaremos este hilo con detalles a medida que avancemos. pic.twitter.com/iWQR0ByIgB

– Blockaid (@blockaid_) 11 de julio de 2024

Ben-Natan afirmó que, si bien aún no se conoce el alcance total del secuestro, aproximadamente 228 interfaces del protocolo DeFi aún podrían estar en riesgo.

Se cree que el ataque es obra de un grupo conocido como Inferno Drainer. Este grupo ha estado activo durante algún tiempo, apuntando a varios protocolos DeFi y explotando diferentes vulnerabilidades.

Su kit de billetera permite a los ciberdelincuentes engañar a los usuarios para que firmen transacciones maliciosas, dándoles a los atacantes control sobre sus activos digitales.

Los investigadores de seguridad han identificado la infraestructura compartida utilizada por el grupo Inferno Drainer, lo que facilita el seguimiento e identificación de ataques relacionados.

Blockaid ha estado trabajando estrechamente con la comunidad criptográfica para mantener un canal abierto para informar sobre sitios comprometidos.

El incidente ha provocado discusiones sobre la mejora de las medidas de seguridad para los protocolos DeFi. Matthew Gould, fundador del proveedor de dominios Web3 Unstoppable Domains, sugirió crear registros en cadena verificados para los dominios. Esto agregaría una capa adicional de protección para que los navegadores y otros sistemas la revisen, lo que ayudaría a reducir el riesgo de ataques DNS.

Gould también propuso una nueva característica donde las actualizaciones de DNS requerirían una firma de la billetera del usuario. Esto haría que las cosas fueran mucho más difíciles para los piratas informáticos, ya que tendrían que comprometer tanto al registrador como a la billetera del usuario por separado.

En respuesta al ataque, varios proyectos y plataformas criptográficas han tomado medidas. MetaMask, una popular billetera Web3, anunció que está trabajando para advertir a los usuarios sobre aplicaciones potencialmente comprometidas asociadas con el ataque.

Los usuarios que intenten realizar transacciones en cualquier sitio conocido involucrado en el ataque actual verán una advertencia proporcionada por Blockaid.

Aquellos de ustedes que usan MetaMask, verán una advertencia proporcionada por @blockaid_ si intentan realizar transacciones en cualquier sitio conocido que esté involucrado en este ataque actual.#mmseguridadhttps://t.co/Fk0sAjaeit

—MetaMask??????? (@MetaMask) 11 de julio de 2024

La comunidad criptográfica se ha unido para crear conciencia y minimizar daños potenciales. El desarrollador de DefiLlama, 0xngmi, compartió una lista de más de 100 protocolos DeFi que pueden verse afectados por el ataque, incluidos nombres conocidos como Pendle Finance, dYdX, Polymarket y LooksRare.

La publicación El ataque de secuestro de DNS apunta a múltiples protocolos DeFi apareció por primera vez en Blockonomi.