dYdX ha publicado una autopsia detallada sobre el hackeo de la cuenta de Squarespace, que describe los eventos y sus respuestas.
dYdX, un destacado intercambio de cifrado, anunció el 23 de julio que su sitio web versión 3.0 había sido comprometido.
El registrador de dominios para https://t.co/Ym1dFLMmm5 (anteriormente Squarespace) confirmó que el 23 de julio, personas no autorizadas accedieron a la cuenta de Squarespace de dYdX Trading después de que implementaron con éxito la atención al cliente de Squarespace mediante ingeniería social.
– dYdX (@dYdX) 25 de julio de 2024
Se ha aconsejado a los usuarios que eviten visitar el sitio de la versión 3.0 o hacer clic en cualquier enlace hasta nuevo aviso. Sin embargo, el equipo aseguró a los usuarios que la versión 4.0 no se ve afectada y funciona con normalidad.
dYdX ha publicado una autopsia detallada sobre el hackeo de la cuenta de Squarespace, que describe los eventos y sus respuestas. El intercambio ha decidido cambiar los registradores de dominio y continúa trabajando con SEAL y otros socios para evitar incidentes futuros.
Sitio web de intercambio dYdX comprometido debido a un ataque de ingeniería social
Según la autopsia, la infracción se produjo después de que personas no autorizadas accedieran a la cuenta de Squarespace de dYdX Trading a través de un ataque de ingeniería social al servicio de atención al cliente de Squarespace.
Durante el secuestro de dos horas del dominio de intercambio, dos usuarios perdieron fondos por un total aproximado de 31.000 dólares. dYdX Trading está en contacto con los usuarios afectados para garantizar que reciban una compensación.
En 2023, Squarespace adquirió todos los dominios de los ahora desaparecidos Google Domains y los migró durante varios meses. El dominio dydx.exchange, propiedad de dYdX Trading, se trasladó a Squarespace el 15 de junio de 2024.
El 9 de julio, los atacantes obtuvieron acceso al dominio dydx.exchange y modificaron los servidores de nombres DNS de Cloudflare a DDoS-Guard.
Este ataque inicial fue mitigado por la configuración de DNSSEC, que impidió que los usuarios accedieran al sitio comprometido. DYdX resolvió rápidamente el problema mediante rotaciones de contraseña y autenticación de dos factores (2FA).
Tras informes de ataques similares a dominios criptográficos específicos, SEAL, un equipo de seguridad centrado en criptografía, inició una investigación. Se descubrió que se había explotado una vulnerabilidad de OAuth en Squarespace, que Squarespace abordó y solucionó el 12 de julio.
A pesar de esto, el dominio dydx.exchange volvió a verse comprometido el 23 de julio. Los atacantes lograron cambiar los servidores de nombres DNS y eliminar la configuración de DNSSEC, alojando un sitio malicioso que engañaba a los usuarios para que transfirieran tokens Ethereum y ERC20.
Durante este período, dYdX colaboró con SEAL y otros socios para bloquear sitios maliciosos en carteras criptográficas populares como Metamask y Phantom. A pesar de estos esfuerzos, dos usuarios perdieron 31.000 dólares durante el ataque.
dYdX Exchange recupera el sitio web tras el hackeo de una cuenta de Squarespace
La autopsia reveló además que el atacante había configurado el correo electrónico del administrador del dominio en una dirección que termina en outlook.com, con un nombre de usuario similar al nombre legal del administrador de facturación en la cuenta de dYdX.
Después de volver a proteger el dominio, se agregaron controles adicionales para garantizar que esto nunca vuelva a suceder, incluida la migración del dominio a Cloudflare.
– dYdX (@dYdX) 25 de julio de 2024
Esto sugirió un ataque de ingeniería social, ya que el atacante utilizó una dirección de correo electrónico creíble.
Según dYdX, sus comunicaciones con Squarespace revelaron que un error humano inició la adquisición durante el proceso de recuperación de la cuenta.
El atacante evitó 2FA y modificó el correo electrónico de la cuenta sin proporcionar credenciales de seguridad válidas. El servicio de atención al cliente de Squarespace no intentó ponerse en contacto con ningún otro administrador incluido en el dominio antes de realizar estos cambios.
El sitio web https://t.co/Ym1dFLLOwx ha sido recuperado por dYdX Trading Inc.
Tenga en cuenta que es posible que su máquina aún esté almacenando en caché el sitio comprometido.
Asegúrese de borrar su caché y reiniciar su navegador antes de conectarse al sitio web.
– dYdX (@dYdX) 23 de julio de 2024
En respuesta al ataque, dYdX transfirió el registro de su dominio a Cloudflare para mejorar la seguridad. El traslado se aceleró y se completó en seis horas.
dYdX confirmó que no hubo problemas de seguridad con sus contratos inteligentes, sistemas backend o la cadena dYdX como resultado de los incidentes.
El equipo de dYdX declaró la red social X, aconsejando a los usuarios que borren el caché de su navegador y lo reinicien antes de volver a conectarse al sitio web para asegurarse de que no estaban accediendo al sitio comprometido.
