• dYdX opublikował szczegółową sekcję zwłok w sprawie włamania na konto Squarespace, opisując wydarzenia i reakcje.

dYdX, czołowa giełda kryptowalut, ogłosiła 23 lipca, że ​​jej witryna internetowa w wersji 3.0 została zhakowana.

Rejestrator domeny https://t.co/Ym1dFLMmm5 (wcześniej Squarespace) potwierdził, że 23 lipca dostęp do konta Squarespace firmy dYdX Trading uzyskały nieupoważnione osoby po pomyślnym zastosowaniu inżynierii społecznej w obsłudze klienta Squarespace.

— dYdX (@dYdX) 25 lipca 2024 r

Użytkownikom zalecono unikanie odwiedzania witryny wersji 3.0 i klikania jakichkolwiek łączy do odwołania. Zespół zapewnił jednak użytkowników, że wersja 4.0 pozostaje nienaruszona i działa normalnie.

dYdX opublikował szczegółową sekcję zwłok w sprawie włamania na konto Squarespace, opisując wydarzenia i reakcje. Giełda zdecydowała się zmienić rejestratora domen i kontynuuje współpracę z SEAL i innymi partnerami, aby zapobiec przyszłym incydentom.

Witryna dYdX Exchange została naruszona w wyniku ataku socjotechnicznego

Jak wynika z sekcji zwłok, do naruszenia doszło po tym, jak nieupoważnione osoby uzyskały dostęp do konta Squarespace firmy dYdX Trading w drodze ataku socjotechnicznego na obsługę klienta Squarespace.

Podczas dwugodzinnego przejęcia domeny giełdy dwóch użytkowników straciło środki na łączną kwotę około 31 000 dolarów. dYdX Trading kontaktuje się z użytkownikami, których to dotyczy, aby zapewnić im rekompensatę.

W 2023 r. Squarespace przejęło wszystkie domeny z nieistniejącej już Google Domains, przenosząc je w ciągu kilku miesięcy. Domena dydx.exchange, której właścicielem jest dYdX Trading, została przeniesiona do Squarespace 15 czerwca 2024 r.

9 lipca napastnicy uzyskali dostęp do domeny dydx.exchange i zmodyfikowali serwery nazw DNS z Cloudflare na DDoS-Guard.

Ten początkowy atak został złagodzony przez ustawienia DNSSEC, które uniemożliwiały użytkownikom dostęp do zaatakowanej witryny. DYdX szybko rozwiązało problem poprzez rotację haseł i uwierzytelniania dwuskładnikowego (2FA).

Po raportach o podobnych atakach na domeny specyficzne dla kryptowalut SEAL, zespół ds. bezpieczeństwa zajmujący się kryptografią, wszczął dochodzenie. Odkryto, że wykorzystano lukę OAuth w Squarespace, którą Squarespace zajęło się i naprawiło 12 lipca.

Mimo to 23 lipca domena dydx.exchange została ponownie przejęta. Atakującym udało się zmienić serwery nazw DNS i usunąć ustawienia DNSSEC, hostując złośliwą witrynę, która nakłoniła użytkowników do przesłania tokenów Ethereum i ERC20.

W tym okresie dYdX współpracował z SEAL i innymi partnerami w celu blokowania złośliwych witryn w popularnych portfelach kryptograficznych, takich jak Metamask i Phantom. Pomimo tych wysiłków dwóch użytkowników straciło podczas ataku 31 000 dolarów.

dYdX Exchange odzyskuje witrynę internetową po włamaniu na konto Squarespace

Sekcja zwłok ujawniła ponadto, że atakujący ustawił adres e-mail administratora domeny na adres kończący się na Outlook.com, a nazwa użytkownika była podobna do oficjalnej nazwy administratora rozliczeń na koncie dYdX. 

Po ponownym zabezpieczeniu domeny dodano dodatkowe kontrole, aby mieć pewność, że taka sytuacja nigdy się nie powtórzy, w tym migrację domeny do Cloudflare.

— dYdX (@dYdX) 25 lipca 2024 r

Sugerowało to atak socjotechniczny, ponieważ osoba atakująca użyła wiarygodnego adresu e-mail.

Według dYdX komunikacja ze Squarespace ujawniła, że ​​przejęcie zainicjowane zostało przez błąd ludzki podczas procesu odzyskiwania konta.

Osoba atakująca ominęła 2FA i zmodyfikowała adres e-mail konta, nie podając ważnych danych uwierzytelniających. Obsługa klienta Squarespace nie próbowała kontaktować się z żadnymi innymi wymienionymi administratorami w domenie przed wprowadzeniem tych zmian.

Witryna https://t.co/Ym1dFLLOwx została odzyskana przez dYdX Trading Inc.

Pamiętaj, że Twój komputer może nadal buforować zaatakowaną witrynę.

Przed połączeniem się ze stroną internetową pamiętaj o wyczyszczeniu pamięci podręcznej i ponownym uruchomieniu przeglądarki.

— dYdX (@dYdX) 23 lipca 2024 r

W odpowiedzi na atak firma dYdX przeniosła rejestrację swojej domeny do Cloudflare, aby zwiększyć bezpieczeństwo. Transfer został przyspieszony i zrealizowany w ciągu sześciu godzin.

Firma dYdX potwierdziła, że ​​w wyniku incydentów nie wystąpiły żadne problemy związane z bezpieczeństwem jej inteligentnych kontraktów, systemów zaplecza ani łańcucha dYdX.

Zespół dYdX stwierdził w mediach społecznościowych X, radząc użytkownikom wyczyszczenie pamięci podręcznej przeglądarki i ponowne uruchomienie przeglądarki przed ponownym połączeniem się z witryną, aby upewnić się, że nie uzyskują dostępu do zaatakowanej witryny.