DeFi apps targeted in apparent Squarespace DNS registry attack: Blockaid

Cointelegraph · 2024-07-11T17:43:30.000Z

Multiple decentralized finance (DeFi) apps have been targeted in a domain registry attack on July 11, according to an X post from blockchain security platform Blockaid. The attacker has taken control of the DNS registry for Compound Finance and has attempted but failed to take control of Celer Network’s registry. After a preliminary investigation, Blockaid concluded that the attacker is targeting domain names provided by Squarespace, potentially putting any DeFi app with a Squarespace domain at risk. Source: Blockaid Security researchers first became aware of the attack when the Compound interface at compound.finance began redirecting to a malicious website. The malicious site was equipped with a drainer app that attempted to steal users’ tokens. Related: Compound Finance site potentially breached — ZachXBT At 1:38 p.m. UTC, been attacked. However, in this case, Celer stated that its domain monitoring system had detected the takeover and intercepted it before it could succeed. At 3:38 pm UTC, Blockaid announced that “multiple DeFi front ends are at risk of hijacking, with a few incidents already taking place[.]” A few minutes later, the security firm claimed that it believed these attacks were rooted in Squarespace’s domain name registry. “From initial assessment, it appears that the attackers are operating by hijacking DNS records of projects hosted on SquareSpace,” it stated. 0xngmi, developer of blockchain analytics platform DefiLlama, posted a list of domains that may be affected by the attack. The list includes more than 100 DeFi protocols, including Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, LooksRare, and many others. Web3 wallet MetaMask announced that it is attempting to warn users of possibly compromised apps associated with the attack. “For those of you using MetaMask, you’ll see a warning provided by @blockaid_ if you attempt to transact on any known site that’s involved in this current attack,” it stated. Source: MetaMask Domain-name hijacking is one of several attacks against the Web3 industry over the past year. In December, an attacker injected malicious code into the Ledger Connect library that most Web3 apps use for wallet connections, affecting nearly the entire Ethereum Virtual Machine ecosystem. Magazine: Crypto-Sec: Phishing scammer goes after Hedera users, address poisoner gets $70K

Jak wynika z postu X opublikowanego przez platformę bezpieczeństwa Blockaid, celem ataku na rejestr domen, który miał miejsce 11 lipca, było wiele aplikacji zdecentralizowanych finansów (DeFi). Osoba atakująca przejął kontrolę nad rejestrem DNS Compound Finance i bezskutecznie próbowała przejąć kontrolę nad rejestrem Celer Network. 
Po wstępnym dochodzeniu Blockaid doszedł do wniosku, że atakujący atakuje nazwy domen dostarczane przez Squarespace, potencjalnie narażając na ryzyko każdą aplikację DeFi z domeną Squarespace.
Badacze bezpieczeństwa po raz pierwszy dowiedzieli się o ataku, gdy interfejs Compound w witrynie compound zaczął przekierowywać do złośliwej witryny internetowej. Szkodliwa witryna była wyposażona w aplikację drenującą, która próbowała ukraść tokeny użytkowników.
Powiązane: Potencjalne naruszenie witryny Compound Finance — ZachXBT
O 13:38 UTC, został zaatakowany. Jednakże w tym przypadku Celer stwierdził, że jego system monitorowania domeny wykrył przejęcie i przechwycił je, zanim mogło się ono powieść.
O 15:38 czasu UTC firma Blockaid ogłosiła, że ​​„wiele interfejsów DeFi jest zagrożonych przejęciem, a kilka incydentów już miało miejsce[.]”. Kilka minut później firma zajmująca się bezpieczeństwem oświadczyła, że ​​jej zdaniem ataki te mają swoje korzenie w systemie Squarespace rejestr nazw domen. „Ze wstępnej oceny wynika, że ​​napastnicy działają poprzez przejmowanie rekordów DNS projektów hostowanych w SquareSpace” – stwierdził.
0xngmi, twórca platformy analitycznej Blockchain DefiLlama, opublikował listę domen, na które może wpłynąć atak. Na liście znajduje się ponad 100 protokołów DeFi, w tym Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, LookRare i wiele innych.
Portfel Web3 MetaMask ogłosił, że próbuje ostrzec użytkowników przed potencjalnie zainfekowanymi aplikacjami powiązanymi z atakiem. „Jeśli korzystasz z MetaMask, zobaczysz ostrzeżenie od @blockaid_, jeśli spróbujesz dokonać transakcji w dowolnej znanej witrynie, która jest zaangażowana w bieżący atak” – stwierdzono.
Przejmowanie nazw domen to jeden z kilku ataków na branżę Web3, które miały miejsce w zeszłym roku. W grudniu osoba atakująca wstrzyknęła złośliwy kod do biblioteki Ledger Connect, której większość aplikacji Web3 używa do połączeń z portfelem, wpływając na prawie cały ekosystem maszyny wirtualnej Ethereum.
Magazyn: Crypto-Sec: Oszust phishingowy atakuje użytkowników Hedery, osoba trująca adresy dostaje 70 tys. dolarów

Aplikacje DeFi celem widocznego ataku na rejestr DNS Squarespace: Blockaid

Odkryj więcej od twórcy

Najnowsze wiadomości