Znaczący atak na rejestr domen naruszył DNS wielu aplikacji DeFi, w tym Compound i Celer Network, potencjalnie wpływając na ponad 120 protokołów korzystających z domen Squarespace.

Aplikacje DeFi atakowane

11 lipca wiele aplikacji zdecentralizowanych finansów (DeFi) stało się ofiarami znaczącego ataku na rejestr domen. Firma zajmująca się bezpieczeństwem Blockchain, Blockaid, zidentyfikowała powszechny incydent przejęcia domeny, który dotknął Compound Finance, Celer Network i potencjalnie 120 innych protokołów DeFi.

Atak nastąpił po ataku na rejestr DNS firmy Compound Finance, w wyniku którego jej interfejs front-end w witrynie złożonej został przekierowany na stronę phishingową wyposażoną w aplikację drenażową zaprojektowaną w celu kradzieży tokenów użytkownika. Compound Labs potwierdziło naruszenie frontonu swojej witryny internetowej. Jednak firmie Celer Network udało się udaremnić podobną próbę przejęcia dzięki systemowi monitorowania domen.

Dochodzenie i wstępne ustalenia

Dochodzenie Blockaid ujawniło, że atakujący obrał za cel nazwy domen udostępniane przez Squarespace. Naraża to na ryzyko każdą aplikację DeFi z domeną Squarespace. Atak został początkowo uznany za łagodny 6 lipca, ale 11 lipca przekształcił się w poważne zagrożenie.

Wygląda na to, że atak wykorzystuje luki w zapisach DNS projektów hostowanych na Squarespace. Metoda ta pozwala atakującym przejąć kontrolę nad witryną i przekierować ruch do złośliwych witryn phishingowych. 

Badacz samczsun z Paradigm zasugerował, że włamanie mogło nastąpić z kont Google Domain używanych przez te protokoły. Nabycie Google Domains przez Squarespace w zeszłym roku za kwotę 180 milionów dolarów spowodowało dokładne zbadanie wszystkich powiązanych witryn.

Szerszy wpływ i reakcja

0xngmi, programista platformy analitycznej Blockchain DefiLlama, udostępnił listę 126 protokołów DeFi, na które potencjalnie może wpłynąć atak. Do najważniejszych projektów na tej liście należą Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum i MantaDAO.

W odpowiedzi na zagrożenie popularny portfel Web3 MetaMask ogłosił podjęcie działań mających na celu ostrzeganie użytkowników o potencjalnie zainfekowanych aplikacjach. Użytkownicy MetaMask próbujący dokonać transakcji w znanych witrynach, których dotyczy problem, otrzymają ostrzeżenia od Blockaid.

Kontekst historyczny i przyszłe implikacje

Ten incydent jest jednym z kilku ataków na branżę Web3, które miały miejsce w zeszłym roku. W grudniu osoba atakująca wstrzyknęła złośliwy kod do biblioteki Ledger Connect, wpływając na prawie cały ekosystem maszyny wirtualnej Ethereum. Metody wykorzystywane do wykorzystywania protokołów DeFi obejmują zarówno wyrafinowane taktyki rejestracji wstępnej, jak i masowe rejestracje domen zmieszane z legalnymi domenami Squarespace.

Atak uwypuklił luki w systemach rejestracji domen wykorzystywanych przez protokoły DeFi i uwypuklił potrzebę wprowadzenia ulepszonych środków bezpieczeństwa w celu ochrony tych platform przed przyszłymi zagrożeniami.

Zastrzeżenie: ten artykuł ma wyłącznie charakter informacyjny. Nie jest oferowana ani przeznaczona do stosowania jako porada prawna, podatkowa, inwestycyjna, finansowa lub inna.