Des piratages généralisés du registre DNS frappent les applications DeFi via les domaines Squarespace

Une attaque importante de registre de domaine a compromis le DNS de plusieurs applications DeFi, notamment Compound et Celer Network, affectant potentiellement plus de 120 protocoles utilisant les domaines Squarespace.

Applications DeFi attaquées

Le 11 juillet, plusieurs applications de finance décentralisée (DeFi) ont été victimes d'une importante attaque de registre de domaine. La société de sécurité Blockchain Blockaid a identifié un incident généralisé de piratage de domaine qui a affecté Compound Finance, Celer Network et potentiellement 120 autres protocoles DeFi.

L'attaque faisait suite à celle du registre DNS de Compound Finance, où son interface frontale sur compound.finance était redirigée vers un site de phishing équipé d'une application drainante conçue pour voler les jetons des utilisateurs. Compound Labs a confirmé la compromission du front-end de leur site Web. Cependant, Celer Network a réussi à contrecarrer une tentative de rachat similaire grâce à son système de surveillance de domaines.

Enquête et premières conclusions

L'enquête de Blockaid a révélé que l'attaquant ciblait les noms de domaine fournis par Squarespace. Cela met en danger toute application DeFi avec un domaine Squarespace. L’attaque a été initialement détectée comme bénigne le 6 juillet, mais est devenue une menace importante le 11 juillet.

L'attaque semble exploiter les vulnérabilités des enregistrements DNS des projets hébergés sur Squarespace. Cette méthode permet aux attaquants de prendre le contrôle d’un site Web et de rediriger le trafic vers des sites de phishing malveillants. 

Le chercheur Samczsun de Paradigm a suggéré que le piratage pourrait provenir de comptes de domaine Google utilisés par ces protocoles. L'acquisition de Google Domains par Squarespace dans le cadre d'un accord de 180 millions de dollars l'année dernière a mis tous les sites Web associés sous surveillance.

Impact et réponse plus larges

0xngmi, un développeur de la plateforme d'analyse blockchain DefiLlama, a partagé une liste de 126 protocoles DeFi qui pourraient être potentiellement affectés par l'attaque. Les projets importants de cette liste incluent Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum et MantaDAO.

En réponse à la menace, MetaMask, un portefeuille Web3 populaire, a annoncé des efforts pour avertir les utilisateurs des applications potentiellement compromises. Les utilisateurs de MetaMask tentant d'effectuer des transactions sur des sites concernés connus recevront des avertissements de Blockaid.

Contexte historique et implications futures

Cet incident est l'une des nombreuses attaques contre l'industrie du Web3 au cours de l'année écoulée. En décembre, un attaquant a injecté du code malveillant dans la bibliothèque Ledger Connect, affectant la quasi-totalité de l’écosystème de la machine virtuelle Ethereum. Les méthodes utilisées pour exploiter les protocoles DeFi vont des tactiques sophistiquées de pré-enregistrement aux inscriptions massives de domaines mélangées à des domaines Squarespace légitimes.

L'attaque souligne les vulnérabilités des systèmes d'enregistrement de domaine utilisés par les protocoles DeFi et souligne la nécessité de mesures de sécurité renforcées pour protéger ces plates-formes contre les menaces futures.

Avertissement : cet article est fourni à titre informatif uniquement. Il n’est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.