Múltiples aplicaciones de finanzas descentralizadas (DeFi) fueron objeto de un ataque de registro de dominio el 11 de julio, según una publicación X de la plataforma de seguridad blockchain Blockaid. El atacante tomó el control del registro DNS de Compound Finance e intentó, pero no logró, tomar el control del registro de Celer Network.
Después de una investigación preliminar, Blockaid concluyó que el atacante tiene como objetivo nombres de dominio proporcionados por Squarespace, lo que podría poner en riesgo cualquier aplicación DeFi con un dominio de Squarespace.
Los investigadores de seguridad se dieron cuenta del ataque por primera vez cuando la interfaz Compound en composite.finance comenzó a redirigir a un sitio web malicioso. El sitio malicioso estaba equipado con una aplicación de drenaje que intentaba robar los tokens de los usuarios.
Relacionado: Sitio de Compound Finance potencialmente violado - ZachXBT
A las 13:38 horas UTC, ha sido atacado. Sin embargo, en este caso, Celer afirmó que su sistema de seguimiento de dominios había detectado la opa y la interceptó antes de que pudiera tener éxito.
A las 3:38 p.m. UTC, Blockaid anunció que "múltiples interfaces DeFi corren el riesgo de ser secuestrados, y ya se han producido algunos incidentes[.]". Unos minutos más tarde, la empresa de seguridad afirmó que creía que estos ataques tenían su origen en Squarespace. registro de nombres de dominio. "Según la evaluación inicial, parece que los atacantes están operando secuestrando registros DNS de proyectos alojados en SquareSpace", afirmó.
0xngmi, desarrollador de la plataforma de análisis blockchain DefiLlama, publicó una lista de dominios que pueden verse afectados por el ataque. La lista incluye más de 100 protocolos DeFi, incluidos Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, LooksRare y muchos otros.
La billetera Web3 MetaMask anunció que está intentando advertir a los usuarios sobre aplicaciones posiblemente comprometidas asociadas con el ataque. "Para aquellos de ustedes que usan MetaMask, verán una advertencia proporcionada por @blockaid_ si intentan realizar transacciones en cualquier sitio conocido que esté involucrado en este ataque actual", afirmó.
El secuestro de nombres de dominio es uno de varios ataques contra la industria Web3 durante el año pasado. En diciembre, un atacante inyectó código malicioso en la biblioteca Ledger Connect que la mayoría de las aplicaciones Web3 utilizan para conexiones de billetera, afectando a casi todo el ecosistema de la máquina virtual Ethereum.
Revista: Crypto-Sec: Un estafador de phishing persigue a los usuarios de Hedera, el envenenador de direcciones obtiene 70.000 dólares