Dirigido a varias aplicaciones de finanzas distribuidas (DeFi), un hack de registro de dominio de gran sofisticación el 11 de julio provocó redirecciones ilegales de usuarios a sitios web peligrosos.

El hack, que afecta a los principales protocolos DeFi, como Compound Finance, y representa una amenaza para muchos otros dentro del ecosistema, utiliza principalmente nombres de dominio alojados en Squarespace, una plataforma de creación de sitios web ampliamente utilizada.

Entradas DNS alteradas por atacantes

Los atacantes cambiaron las entradas de DNS, por lo que enviaron a los clientes que buscaban acceso a sistemas DeFi autorizados a sitios web de phishing destinados a recopilar información y activos privados, en lugar de al revés.

Los usuarios que intentaron utilizar la interfaz de Compound Finance en Compound.finance fueron enviados a un sitio web falso cargado con un programa de drenaje destinado a la extracción de tokens que reveló por primera vez el problema.

compilé una lista (parcial) de dominios conectados al espacio cuadrado que estarían en riesgo de ser pirateados, los evitaría por ahorahttps://t.co/Cih5YTgFL9

– 0xngmi (@0xngmi) 11 de julio de 2024

El dominio de Celer Network fue atacado de manera similar en un evento comparable; pero sus sistemas de monitoreo detuvieron con éxito el ataque antes de que pudiera producirse algún daño.

Celer Network informó del asalto al DNS a las 13:38 horas. UTC; Blockaid, una plataforma de seguridad blockchain, había verificado que los registros DNS alterados afectaban a numerosas interfaces DeFi alojadas en Squarespace a las 3:38 p.m. UTC.

Estos eventos han provocado un gran debate sobre las fallas de seguridad de las aplicaciones DeFi que dependen de la arquitectura Web2 convencional. Los expertos en seguridad creen que el ataque comenzó desde cuentas de dominio de Google utilizadas por estas plataformas DeFi.

Todos los sitios vinculados están ahora bajo un mayor escrutinio tras la compra de Google Domains por parte de Squarespace por 180 millones de dólares.

Lista de protocolos potencialmente afectados

Posteriormente, 0xngmi, el creador de DefiLlama, compiló más de 100 protocolos DeFi posiblemente afectados. Los nombres notables en esta lista incluyen Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana y LooksRare.

Pendle Finance recomendó a los usuarios que no usaran la aplicación ya que se demostró su infracción y su página se suspendió brevemente para evitar un mayor uso. Su efectivo permaneció a salvo.

Si bien Celer logró identificar y detener el ataque de antemano, Compound confirmó que su dominio había sido pirateado y lo redireccionó a un sitio fraudulento.

Tanto Compound Finance como Celer reconocieron la adquisición de DNS. A pesar de estas medidas, ambas empresas siguen analizando el alcance del hackeo.

Alerta de metamáscara

MetaMask, el conocido proveedor de billeteras Web3, ha activado alarmas para los consumidores que realizan transacciones en sitios web pirateados. Esta herramienta busca concienciar a los usuarios sobre posibles amenazas y, por lo tanto, reducir las posibilidades de robo de tokens.

Además, se recomienda a la comunidad que evite cualquier interacción con las aplicaciones DeFi alojadas en dominios de Squarespace hasta que el peligro se neutralice por completo para detener el robo de activos.

Amenazas actuales y precauciones necesarias

Ni Celer Network ni Compound Finance han reconocido a medida que se desarrolla la situación que la amenaza ha sido totalmente eliminada. Aunque todavía no se ha registrado ningún robo de fondos, sigue siendo bastante importante una mayor concienciación.

Al enfatizar la necesidad crucial de mecanismos de seguridad sólidos, este episodio actual se ajusta a una tendencia de riesgos crecientes en el área Web3.

Eventos anteriores como el hackeo de Curve Finance por valor de 70 millones de dólares y la inyección de código malicioso en la biblioteca Ledger Connect en diciembre, que afectó prácticamente a todo el ecosistema de la máquina virtual Ethereum, demuestran el carácter continuo y cambiante de estas amenazas.

Las posibles formas de fortalecer el ecosistema criptográfico contra tales vulnerabilidades incluyen iniciativas como el bot SEAL 911 Telegram y consejos de seguridad con actores de la industria como Coinbase.

La publicación DeFi bajo ataque: secuestro de dominio sofisticado al descubierto apareció por primera vez en Coinfomania.