Visando vários aplicativos de finanças distribuídas (DeFi), um hack de registro de domínio de grande sofisticação em 11 de julho causou redirecionamentos ilegais de usuários para sites perigosos.

Afetando os principais protocolos DeFi, como o Compound Finance, e representando uma ameaça para muitos outros dentro do ecossistema, o hack usa principalmente nomes de domínio hospedados pelo Squarespace, uma plataforma de construção de sites amplamente utilizada.

Entradas DNS alteradas por invasores

Os invasores alteraram as entradas DNS, enviando assim os clientes que buscam acesso a sistemas DeFi autorizados para sites de phishing destinados a coletar informações e ativos privados, e não o contrário.

Os usuários que tentavam usar a interface Compound Finance em composta.finance foram enviados para um site falso carregado com um programa drenador destinado à sifonagem de tokens que primeiro revelou o problema.

compilei uma lista (parcial) de domínios conectados ao espaço quadrado que estariam em risco de serem hackeados, eu os evitaria por enquantohttps://t.co/Cih5YTgFL9

-0xngmi (@0xngmi) 11 de julho de 2024

O domínio da Celer Network foi atacado de forma semelhante em um evento comparável; mas seus sistemas de monitoramento interromperam o ataque com sucesso antes que qualquer dano pudesse ocorrer.

A Celer Network relatou o ataque ao DNS às 13h38. UTC; Blockaid, uma plataforma de segurança blockchain, verificou que os registros DNS alterados afetaram vários front-ends DeFi hospedados no Squarespace às 15h38. UTC.

Esses eventos geraram muito debate sobre as falhas de segurança dos aplicativos DeFi dependendo da arquitetura Web2 convencional. Especialistas em segurança acreditam que o ataque começou a partir de contas de domínio do Google usadas por essas plataformas DeFi.

Todos os sites vinculados estão agora sob escrutínio após a compra do Google Domains pela Squarespace por US$ 180 milhões.

Lista de protocolos potencialmente impactados

Posteriormente, 0xngmi, o criador do DefiLlama, compilou mais de 100 protocolos DeFi possivelmente impactados. Nomes notáveis ​​nesta lista incluem Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana e LooksRare.

A Pendle Finance aconselhou os usuários a não usarem o aplicativo, pois sua violação foi comprovada e sua página foi brevemente suspensa para impedir mais uso. Seu dinheiro permaneceu seguro.

Embora a Celer tenha conseguido identificar e impedir o ataque de antemão, a Compound confirmou que seu domínio havia sido hackeado, levando ao redirecionamento para um site fraudulento.

Tanto a Compound Finance quanto a Celer reconheceram a aquisição do DNS. Ambas as empresas ainda estão analisando toda a extensão do hack, apesar destas medidas.

Alerta de metamáscara

Em reação, o conhecido provedor de carteira Web3 MetaMask definiu alarmes para consumidores que fazem transações em sites hackeados. Esta ferramenta busca conscientizar os usuários sobre possíveis ameaças, diminuindo assim as chances de roubo de tokens.

Além disso, recomenda-se que a comunidade evite qualquer interação com aplicativos DeFi hospedados em domínios do Squarespace até que o perigo seja totalmente neutralizado para impedir o roubo de ativos.

Ameaças contínuas e precauções necessárias

Nem a Celer Network nem a Compound Finance reconheceram, à medida que a situação evoluiu, que a ameaça foi totalmente eliminada. Embora ainda não tenha sido registado qualquer roubo de fundos, uma maior sensibilização ainda é bastante importante.

Enfatizando a necessidade crucial de mecanismos de segurança fortes, este episódio atual enquadra-se numa tendência de riscos crescentes na área da Web3.

Eventos anteriores, como o hack de US$ 70 milhões da Curve Finance e a injeção de código malicioso na biblioteca Ledger Connect em dezembro, impactando praticamente todo o ecossistema da Máquina Virtual Ethereum, demonstram o caráter contínuo e mutável dessas ameaças.

Discutidas como possíveis formas de fortalecer o ecossistema criptográfico contra tais vulnerabilidades incluem iniciativas como o bot SEAL 911 Telegram e conselhos de segurança com participantes da indústria como a Coinbase.

O post DeFi sob ataque: sequestro de domínio sofisticado exposto apareceu pela primeira vez no Coinfomania.