Un significativo attacco al registro di dominio ha compromesso il DNS di diverse applicazioni DeFi, tra cui Compound e Celer Network, colpendo potenzialmente oltre 120 protocolli che utilizzano i domini Squarespace.
App DeFi sotto attacco
L'11 luglio, diverse applicazioni di finanza decentralizzata (DeFi) sono diventate vittime di un significativo attacco al registro dei domini. La società di sicurezza blockchain Blockaid ha identificato un diffuso incidente di dirottamento di domini che ha interessato Compound Finance, Celer Network e potenzialmente altri 120 protocolli DeFi.
L'attacco ha fatto seguito a quello al registro DNS di Compound Finance, dove la sua interfaccia front-end su compound.finance è stata reindirizzata a un sito di phishing dotato di un'app di drenaggio progettata per rubare i token degli utenti. Compound Labs ha confermato la compromissione del front-end del proprio sito web. Tuttavia, Celer Network è riuscita a sventare un simile tentativo di acquisizione grazie al suo sistema di monitoraggio dei domini.
Indagine e risultati iniziali
L'indagine di Blockaid ha rivelato che l'aggressore ha preso di mira i nomi di dominio forniti da Squarespace. Ciò mette a rischio qualsiasi app DeFi con un dominio Squarespace. L’attacco è stato inizialmente riconosciuto come benigno il 6 luglio, ma si è trasformato in una minaccia significativa entro l’11 luglio.
L'attacco sembra sfruttare le vulnerabilità nei record DNS dei progetti ospitati su Squarespace. Questo metodo consente agli aggressori di ottenere il controllo su un sito Web e reindirizzare il traffico verso siti di phishing dannosi.
Il ricercatore Samczsun di Paradigm ha suggerito che l'hacking potrebbe aver avuto origine dagli account Google Domain utilizzati da questi protocolli. L'acquisizione di Google Domains da parte di Squarespace lo scorso anno con un accordo da 180 milioni di dollari ha messo sotto esame tutti i siti Web associati.
Impatto e risposta più ampi
0xngmi, uno sviluppatore della piattaforma di analisi blockchain DefiLlama, ha condiviso un elenco di 126 protocolli DeFi che potrebbero essere potenzialmente colpiti dall'attacco. I progetti più importanti in questo elenco includono Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum e MantaDAO.
In risposta alla minaccia, MetaMask, un popolare portafoglio Web3, ha annunciato sforzi per avvisare gli utenti sulle app potenzialmente compromesse. Gli utenti di MetaMask che tentano di effettuare transazioni su siti noti come interessati riceveranno avvisi da Blockaid.
Contesto storico e implicazioni future
Questo incidente è uno dei numerosi attacchi contro l'industria Web3 nell'ultimo anno. A dicembre, un utente malintenzionato ha iniettato codice dannoso nella libreria Ledger Connect, colpendo quasi l’intero ecosistema delle macchine virtuali di Ethereum. I metodi utilizzati per sfruttare i protocolli DeFi vanno da sofisticate tattiche di pre-registrazione alle registrazioni di domini di massa combinate con domini Squarespace legittimi.
L’attacco sottolinea le vulnerabilità nei sistemi di registrazione dei domini utilizzati dai protocolli DeFi ed evidenzia la necessità di misure di sicurezza rafforzate per proteggere queste piattaforme da minacce future.
Dichiarazione di non responsabilità: questo articolo è fornito solo a scopo informativo. Non sono offerti né sono destinati a essere utilizzati come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.