Prendendo di mira varie applicazioni di finanza distribuita (DeFi), un attacco molto sofisticato al registro dei domini l'11 luglio ha causato reindirizzamenti illegali degli utenti a siti Web pericolosi.

Colpendo i principali protocolli DeFi come Compound Finance e rappresentando una minaccia per molti altri all'interno dell'ecosistema, l'hacking utilizza principalmente nomi di dominio ospitati da Squarespace, una piattaforma di creazione di siti Web ampiamente utilizzata.

Voci DNS alterate dagli aggressori

Gli aggressori hanno modificato le voci DNS, indirizzando quindi i clienti che cercavano di accedere ai sistemi DeFi autorizzati a siti Web di phishing intesi a raccogliere informazioni e risorse private invece del contrario.

Gli utenti che tentavano di utilizzare l'interfaccia di Compound Finance su compound.finance sono stati inviati a un sito Web fasullo caricato con un programma di drenaggio destinato al sifonamento di token che ha rivelato per primo il problema.

ho compilato un elenco (parziale) di domini collegati a Square Space che sarebbero a rischio di essere hackerati, per ora li eviterei https://t.co/Cih5YTgFL9

- 0xngmi (@0xngmi) 11 luglio 2024

Il dominio di Celer Network è stato attaccato in modo simile in un evento analogo; ma i suoi sistemi di monitoraggio sono riusciti a fermare l’attacco prima che potesse derivarne qualsiasi danno.

Celer Network ha segnalato l'assalto al DNS alle 13:38. UTC; Blockaid, una piattaforma di sicurezza blockchain, ha verificato che i record DNS alterati hanno interessato numerosi front-end DeFi ospitati su Squarespace entro le 15:38. UTC.

Questi eventi hanno stimolato un ampio dibattito sui difetti di sicurezza delle app DeFi a seconda dell’architettura Web2 convenzionale. Gli esperti di sicurezza ritengono che l'attacco sia partito dagli account di dominio Google utilizzati da queste piattaforme DeFi.

Tutti i siti collegati sono ora sotto ulteriore esame in seguito all’acquisto di Google Domains da parte di Squarespace per 180 milioni di dollari.

Elenco dei protocolli potenzialmente interessati

Successivamente, 0xngmi, il creatore di DefiLlama, ha compilato oltre 100 protocolli DeFi potenzialmente interessati. Nomi importanti in questo elenco includevano Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana e LooksRare.

Pendle Finance ha consigliato agli utenti di non utilizzare l'app poiché la sua violazione è stata comprovata e la sua pagina è stata brevemente sospesa per impedirne un ulteriore utilizzo. I suoi soldi sono rimasti al sicuro.

Mentre Celer è riuscito a identificare e fermare l'attacco in anticipo, Compound ha confermato che il suo dominio era stato violato portandolo a un sito fraudolento.

Sia Compound Finance che Celer hanno riconosciuto l'acquisizione di DNS. Nonostante queste misure, entrambe le società stanno ancora esaminando l’intera portata dell’hacking.

Avviso metamaschera

In risposta, il noto fornitore di portafogli Web3 MetaMask ha impostato allarmi per i consumatori che effettuano transazioni su siti Web compromessi. Questo strumento cerca di aumentare la consapevolezza degli utenti sulle possibili minacce, riducendo così le possibilità di furto di token.

Inoltre, si raccomanda alla community di evitare qualsiasi interazione con le app DeFi ospitate sui domini Squarespace fino a quando il pericolo non sarà completamente neutralizzato per fermare il furto di beni.

Minacce continue e precauzioni necessarie

Né Celer Network né Compound Finance hanno riconosciuto, con l'evolversi della situazione, che la minaccia è stata completamente eliminata. Anche se finora non è stato registrato alcun furto di fondi, una maggiore consapevolezza è comunque piuttosto importante.

Sottolineando la necessità cruciale di meccanismi di sicurezza forti, l’episodio attuale si adatta a una tendenza di crescenti rischi nell’area Web3.

Eventi precedenti come l’hacking da 70 milioni di dollari di Curve Finance e l’iniezione di codice dannoso nella libreria Ledger Connect a dicembre, che ha avuto un impatto praticamente sull’intero ecosistema della macchina virtuale di Ethereum, dimostrano il carattere continuo e mutevole di queste minacce.

Tra i possibili modi per rafforzare l'ecosistema crittografico contro tali vulnerabilità si sono discusse iniziative come il bot SEAL 911 di Telegram e consigli di sicurezza con attori del settore come Coinbase.

Il post DeFi sotto attacco: sofisticato dirottamento di domini esposto è apparso per la prima volta su Coinfomania.