• dYdX telah merilis postmortem terperinci tentang peretasan akun Squarespace, menguraikan peristiwa dan tanggapan mereka.

dYdX, pertukaran kripto terkemuka, mengumumkan pada 23 Juli bahwa situs web versi 3.0-nya telah disusupi.

Pendaftar domain untuk https://t.co/Ym1dFLMmm5 (sebelumnya Squarespace) telah mengonfirmasi bahwa pada tanggal 23 Juli, akun Squarespace dYdX Trading diakses oleh individu yang tidak berwenang setelah mereka berhasil melakukan rekayasa sosial dukungan pelanggan Squarespace.

— dYdX (@dYdX) 25 Juli 2024

Pengguna disarankan untuk menghindari mengunjungi situs versi 3.0 atau mengklik link apa pun hingga pemberitahuan lebih lanjut. Namun, tim meyakinkan pengguna bahwa versi 4.0 tetap tidak terpengaruh dan berfungsi normal.

dYdX telah merilis postmortem terperinci tentang peretasan akun Squarespace, menguraikan peristiwa dan tanggapan mereka. Pertukaran tersebut telah memutuskan untuk mengubah pendaftar domain dan terus bekerja sama dengan SEAL dan mitra lainnya untuk mencegah insiden di masa mendatang.

Situs Web Pertukaran dYdX Disusupi Karena Serangan Rekayasa Sosial

Menurut postmortem, pelanggaran terjadi setelah individu yang tidak berwenang mengakses akun Squarespace dYdX Trading melalui serangan rekayasa sosial pada dukungan pelanggan Squarespace.

Selama dua jam pembajakan domain pertukaran, dua pengguna kehilangan dana dengan total sekitar $31.000. dYdX Trading menghubungi pengguna yang terkena dampak untuk memastikan mereka mendapat kompensasi.

Pada tahun 2023, Squarespace mengakuisisi semua domain dari Google Domains yang sekarang sudah tidak berfungsi, dan memigrasikannya selama beberapa bulan. Domain dydx.exchange milik dYdX Trading dipindahkan ke Squarespace pada 15 Juni 2024.

Pada tanggal 9 Juli, penyerang memperoleh akses ke domain dydx.exchange dan memodifikasi server nama DNS dari Cloudflare menjadi DDoS-Guard.

Serangan awal ini dimitigasi dengan pengaturan DNSSEC, yang mencegah pengguna mengakses situs yang disusupi. DYdX dengan cepat menyelesaikan masalah ini melalui rotasi kata sandi dan otentikasi dua faktor (2FA).

Menyusul laporan serangan serupa terhadap domain khusus kripto, SEAL, tim keamanan yang berfokus pada kripto, memulai penyelidikan. Ditemukan bahwa kerentanan OAuth di Squarespace telah dieksploitasi, yang ditangani dan diperbaiki oleh Squarespace pada 12 Juli.

Meskipun demikian, domain dydx.exchange telah disusupi lagi pada tanggal 23 Juli. Penyerang berhasil mengubah Server Nama DNS dan menghapus pengaturan DNSSEC, menghosting situs jahat yang menipu pengguna agar mentransfer token Ethereum dan ERC20.

Selama periode ini, dYdX berkolaborasi dengan SEAL dan mitra lainnya untuk memblokir situs jahat di dompet kripto populer seperti Metamask dan Phantom. Meskipun ada upaya ini, dua pengguna kehilangan $31.000 selama serangan tersebut.

dYdX Exchange Memulihkan Situs Web Setelah Peretasan Akun Squarespace

Postmortem lebih lanjut mengungkapkan bahwa penyerang telah menyetel email admin domain ke alamat yang diakhiri dengan Outlook.com, dengan nama pengguna yang mirip dengan nama resmi administrator penagihan di akun dYdX. 

Setelah mengamankan kembali domain, kontrol tambahan telah ditambahkan untuk memastikan hal ini tidak terjadi lagi, termasuk memigrasikan domain ke Cloudflare.

— dYdX (@dYdX) 25 Juli 2024

Hal ini menunjukkan adanya serangan rekayasa sosial, karena penyerang menggunakan alamat email yang dapat dipercaya.

Menurut dYdX, komunikasinya dengan Squarespace mengungkapkan bahwa kesalahan manusia memulai pengambilalihan selama proses pemulihan akun.

Penyerang melewati 2FA dan mengubah email akun tanpa memberikan kredensial keamanan yang valid. Layanan pelanggan Squarespace tidak mencoba menghubungi admin lain yang terdaftar di domain tersebut sebelum melakukan perubahan ini.

https://t.co/Ym1dFLLOWx situs web telah dipulihkan oleh dYdX Trading Inc.

Harap dicatat bahwa mesin Anda mungkin masih menyimpan cache situs yang disusupi.

Pastikan untuk menghapus cache dan memulai ulang browser Anda sebelum terhubung ke situs web.

— dYdX (@dYdX) 23 Juli 2024

Menanggapi serangan tersebut, dYdX mentransfer pendaftaran domainnya ke Cloudflare untuk meningkatkan keamanan. Transfer dipercepat dan selesai dalam waktu enam jam.

dYdX mengonfirmasi bahwa tidak ada masalah keamanan dengan kontrak pintar, sistem backend, atau Rantai dYdX akibat insiden tersebut.

Tim dYdX menyatakan media sosial X, menyarankan pengguna untuk menghapus cache browser mereka dan memulai ulang browser mereka sebelum terhubung kembali ke situs web untuk memastikan mereka tidak mengakses situs yang disusupi.