Widespread DNS Registry Hacks Hits DeFi Apps Through Squarespace Domains

Crypto Daily™ · 2024-07-12T13:03:08.000Z

A significant domain registry attack compromised the DNS of multiple DeFi applications, including Compound and Celer Network, potentially affecting over 120 protocols using Squarespace domains. DeFi Apps Under Attack On July 11, multiple decentralized finance (DeFi) applications became the victims of a significant domain registry attack. Blockchain security firm Blockaid identified a widespread domain hijacking incident that affected Compound Finance, Celer Network, and potentially 120 other DeFi protocols. The attack followed one on Compound Finance's DNS registry, where its front-end interface at compound.finance being redirected to a phishing site equipped with a drainer app designed to steal user tokens. Compound Labs confirmed the compromise of their website's front-end. However, Celer Network managed to thwart a similar takeover attempt thanks to its domain monitoring system. Investigation and Initial Findings Blockaid's investigation revealed that the attacker targeted domain names provided by Squarespace. This puts any DeFi app with a Squarespace domain at risk. The attack was detected initially as benign on July 6 but escalated into a significant threat by July 11. The attack appears to exploit vulnerabilities in the DNS records of projects hosted on Squarespace. This method allows attackers to gain control over a website and redirect traffic to malicious phishing sites. Researcher samczsun from Paradigm suggested that the hack might have originated from Google Domain accounts used by these protocols. Squarespace's acquisition of Google Domains in a $180 million deal last year has put all associated websites under scrutiny. Broader Impact and Response 0xngmi, a developer from the blockchain analytics platform DefiLlama, shared a list of 126 DeFi protocols that could be potentially affected by the attack. Prominent projects on this list include Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum, and MantaDAO. In response to the threat, MetaMask, a popular Web3 wallet, announced efforts to warn users about potentially compromised apps. MetaMask users attempting to transact on known affected sites will receive warnings from Blockaid. Historical Context and Future Implications This incident is one of several attacks against the Web3 industry over the past year. In December, an attacker injected malicious code into the Ledger Connect library, impacting nearly the entire Ethereum Virtual Machine ecosystem. The methods used to exploit DeFi protocols range from sophisticated pre-registration tactics to mass domain sign-ups mixed with legitimate Squarespace domains. The attack underscores the vulnerabilities in the domain registration systems used by DeFi protocols and highlights the need for enhanced security measures to protect these platforms from future threats. Disclaimer: This article is provided for informational purposes only. It is not offered or intended to be used as legal, tax, investment, financial, or other advice.

Serangan registri domain yang signifikan membahayakan DNS beberapa aplikasi DeFi, termasuk Compound dan Celer Network, yang berpotensi memengaruhi lebih dari 120 protokol yang menggunakan domain Squarespace.
Aplikasi DeFi Sedang Diserang
Pada tanggal 11 Juli, beberapa aplikasi keuangan terdesentralisasi (DeFi) menjadi korban serangan registri domain yang signifikan. Perusahaan keamanan Blockchain Blockaid mengidentifikasi insiden pembajakan domain yang meluas yang memengaruhi Compound Finance, Celer Network, dan kemungkinan 120 protokol DeFi lainnya.
Serangan tersebut menyusul serangan pada registri DNS Compound Finance, di mana antarmuka front-endnya di compound.finance dialihkan ke situs phishing yang dilengkapi dengan aplikasi drainer yang dirancang untuk mencuri token pengguna. Compound Labs mengonfirmasi penyusupan pada front-end situs web mereka. Namun, Celer Network berhasil menggagalkan upaya pengambilalihan serupa berkat sistem pemantauan domainnya.
Investigasi dan Temuan Awal
Investigasi Blockaid mengungkapkan bahwa penyerang menargetkan nama domain yang disediakan oleh Squarespace. Hal ini membahayakan aplikasi DeFi apa pun dengan domain Squarespace. Serangan tersebut awalnya terdeteksi sebagai serangan ringan pada tanggal 6 Juli namun meningkat menjadi ancaman yang signifikan pada tanggal 11 Juli.
Serangan tersebut tampaknya mengeksploitasi kerentanan dalam catatan DNS proyek yang dihosting di Squarespace. Metode ini memungkinkan penyerang mendapatkan kendali atas situs web dan mengarahkan lalu lintas ke situs phishing berbahaya. 
Peneliti samczsun dari Paradigm menyatakan bahwa peretasan mungkin berasal dari akun Google Domain yang digunakan oleh protokol ini. Akuisisi Squarespace atas Google Domains dalam kesepakatan senilai $180 juta tahun lalu telah menempatkan semua situs web terkait dalam pengawasan ketat.
Dampak dan Respon yang Lebih Luas
0xngmi, pengembang dari platform analitik blockchain DefiLlama, membagikan daftar 126 protokol DeFi yang berpotensi terkena dampak serangan tersebut. Proyek terkemuka dalam daftar ini termasuk Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum, dan MantaDAO.
Menanggapi ancaman tersebut, MetaMask, dompet Web3 yang populer, mengumumkan upaya untuk memperingatkan pengguna tentang aplikasi yang berpotensi disusupi. Pengguna MetaMask yang mencoba bertransaksi di situs yang diketahui terkena dampak akan menerima peringatan dari Blockaid.
Konteks Sejarah dan Implikasinya di Masa Depan
Insiden ini merupakan salah satu dari beberapa serangan terhadap industri Web3 selama setahun terakhir. Pada bulan Desember, seorang penyerang memasukkan kode berbahaya ke perpustakaan Ledger Connect, yang berdampak pada hampir seluruh ekosistem Mesin Virtual Ethereum. Metode yang digunakan untuk mengeksploitasi protokol DeFi berkisar dari taktik prapendaftaran yang canggih hingga pendaftaran domain massal yang dicampur dengan domain Squarespace yang sah.
Serangan ini menggarisbawahi kerentanan dalam sistem pendaftaran domain yang digunakan oleh protokol DeFi dan menyoroti perlunya peningkatan langkah-langkah keamanan untuk melindungi platform ini dari ancaman di masa depan.
Penafian: Artikel ini disediakan untuk tujuan informasi saja. Hal ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, perpajakan, investasi, keuangan, atau lainnya.

Peretasan Registri DNS yang Meluas Menyerang Aplikasi DeFi Melalui Domain Squarespace

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Peretasan Registri DNS yang Meluas Menyerang Aplikasi DeFi Melalui Domain Squarespace

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Artikel yang Sedang Tren