Un importante ataque al registro de dominio comprometió el DNS de múltiples aplicaciones DeFi, incluidas Compound y Celer Network, y afectó potencialmente a más de 120 protocolos que utilizan dominios de Squarespace.

Aplicaciones DeFi bajo ataque

El 11 de julio, múltiples aplicaciones de finanzas descentralizadas (DeFi) fueron víctimas de un importante ataque de registro de dominio. La empresa de seguridad Blockchain Blockaid identificó un incidente generalizado de secuestro de dominio que afectó a Compound Finance, Celer Network y potencialmente a otros 120 protocolos DeFi.

El ataque siguió a uno en el registro DNS de Compound Finance, donde su interfaz de usuario en composite.finance fue redirigida a un sitio de phishing equipado con una aplicación de drenaje diseñada para robar tokens de usuario. Compound Labs confirmó el compromiso del front-end de su sitio web. Sin embargo, Celer Network logró frustrar un intento de adquisición similar gracias a su sistema de seguimiento de dominios.

Investigación y hallazgos iniciales

La investigación de Blockaid reveló que el atacante apuntó a nombres de dominio proporcionados por Squarespace. Esto pone en riesgo cualquier aplicación DeFi con un dominio de Squarespace. El ataque se detectó inicialmente como benigno el 6 de julio, pero se convirtió en una amenaza significativa el 11 de julio.

El ataque parece explotar vulnerabilidades en los registros DNS de proyectos alojados en Squarespace. Este método permite a los atacantes obtener control sobre un sitio web y redirigir el tráfico a sitios de phishing maliciosos. 

El investigador samczsun de Paradigm sugirió que el hack podría haberse originado en cuentas de dominio de Google utilizadas por estos protocolos. La adquisición de Google Domains por parte de Squarespace en un acuerdo de 180 millones de dólares el año pasado ha puesto a todos los sitios web asociados bajo escrutinio.

Impacto y respuesta más amplios

0xngmi, un desarrollador de la plataforma de análisis blockchain DefiLlama, compartió una lista de 126 protocolos DeFi que podrían verse potencialmente afectados por el ataque. Los proyectos destacados en esta lista incluyen Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum y MantaDAO.

En respuesta a la amenaza, MetaMask, una popular billetera Web3, anunció esfuerzos para advertir a los usuarios sobre aplicaciones potencialmente comprometidas. Los usuarios de MetaMask que intenten realizar transacciones en sitios afectados conocidos recibirán advertencias de Blockaid.

Contexto histórico e implicaciones futuras

Este incidente es uno de varios ataques contra la industria Web3 durante el año pasado. En diciembre, un atacante inyectó código malicioso en la biblioteca Ledger Connect, lo que afectó a casi todo el ecosistema de la máquina virtual Ethereum. Los métodos utilizados para explotar los protocolos DeFi van desde sofisticadas tácticas de preinscripción hasta registros masivos de dominios combinados con dominios legítimos de Squarespace.

El ataque subraya las vulnerabilidades en los sistemas de registro de dominios utilizados por los protocolos DeFi y destaca la necesidad de medidas de seguridad mejoradas para proteger estas plataformas de futuras amenazas.

Descargo de responsabilidad: este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.