Ciblant diverses applications de finance distribuée (DeFi), un piratage très sophistiqué du registre de domaine le 11 juillet a provoqué des redirections illégales d'utilisateurs vers des sites Web dangereux.

Affectant les principaux protocoles DeFi tels que Compound Finance et constituant une menace pour de nombreux autres au sein de l'écosystème, le hack utilise principalement des noms de domaine hébergés par Squarespace, une plateforme de création de sites Web largement utilisée.

Entrées DNS modifiées par des attaquants

Les attaquants ont modifié les entrées DNS, envoyant ainsi les clients cherchant à accéder aux systèmes DeFi autorisés vers des sites Web de phishing destinés à collecter des informations et des actifs privés, et non l'inverse.

Les utilisateurs tentant d'utiliser l'interface de Compound Finance sur compound.finance ont été envoyés vers un faux site Web chargé d'un programme de drainage destiné au siphonnage de jetons, qui a d'abord révélé le problème.

compilé une liste (partielle) de domaines connectés à l'espace carré qui risqueraient d'être piratés, je les éviterais pour l'instanthttps://t.co/Cih5YTgFL9

– 0xngmi (@0xngmi) 11 juillet 2024

Le domaine de Celer Network a été attaqué de la même manière lors d’un événement comparable ; mais ses systèmes de surveillance ont réussi à arrêter l’attaque avant qu’aucun dommage ne puisse en résulter.

Celer Network a signalé l'attaque DNS à 13h38. UTC; Blockaid, une plate-forme de sécurité blockchain, avait vérifié que les enregistrements DNS modifiés affectaient de nombreux frontaux DeFi hébergés sur Squarespace à 15h38. UTC.

Ces événements ont suscité de nombreux débats sur les failles de sécurité des applications DeFi dépendant de l'architecture Web2 conventionnelle. Les experts en sécurité pensent que l'attaque a commencé à partir des comptes de domaine Google utilisés par ces plateformes DeFi.

Tous les sites liés font désormais l’objet d’un examen plus approfondi suite à l’achat de Google Domains par Squarespace pour 180 millions de dollars.

Liste des protocoles potentiellement concernés

Par la suite, 0xngmi, le créateur de DefiLlama, a compilé plus de 100 protocoles DeFi potentiellement impactés. Les noms notables sur cette liste comprenaient Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana et LooksRare.

Pendle Finance a conseillé aux utilisateurs de ne pas utiliser l'application car sa violation a été prouvée et sa page a été brièvement suspendue pour arrêter toute utilisation. Son argent est resté en sécurité.

Alors que Celer a réussi à identifier et arrêter l'attaque au préalable, Compound a confirmé que son domaine avait été piraté, conduisant à une redirection vers un site frauduleux.

Compound Finance et Celer ont reconnu le rachat de DNS. Malgré ces mesures, les deux sociétés examinent toujours l'ampleur du piratage.

Alerte métamasque

Le célèbre fournisseur de portefeuille Web3, MetaMask, a déclenché des alarmes pour les consommateurs effectuant des transactions sur des sites Web piratés. Cet outil vise à sensibiliser les utilisateurs aux menaces possibles, réduisant ainsi les risques de vol de jetons.

De plus, il est recommandé à la communauté d'éviter toute interaction avec les applications DeFi hébergées sur les domaines Squarespace jusqu'à ce que le danger soit totalement neutralisé pour arrêter le vol d'actifs.

Menaces persistantes et précautions nécessaires

Ni Celer Network ni Compound Finance n'ont reconnu, à mesure que la situation évolue, que la menace a été totalement éliminée. Bien qu’aucun vol de fonds n’ait encore été enregistré, une sensibilisation accrue reste néanmoins importante.

Soulignant le besoin crucial de mécanismes de sécurité solides, cet épisode actuel s’inscrit dans une tendance de risques croissants dans le domaine du Web3.

Des événements antérieurs tels que le piratage de Curve Finance de 70 millions de dollars et l’injection de code malveillant dans la bibliothèque Ledger Connect en décembre, affectant pratiquement l’ensemble de l’écosystème de la machine virtuelle Ethereum, démontrent le caractère continu et changeant de ces menaces.

Les moyens possibles de renforcer l'écosystème cryptographique contre de telles vulnérabilités incluent des initiatives telles que le robot SEAL 911 Telegram et des conseils de sécurité avec des acteurs de l'industrie comme Coinbase.

L'article DeFi Under Attack : un détournement de domaine sophistiqué exposé apparaît en premier sur Coinfomania.