Um ataque significativo ao registro de domínio comprometeu o DNS de vários aplicativos DeFi, incluindo Compound e Celer Network, afetando potencialmente mais de 120 protocolos que usam domínios Squarespace.

Aplicativos DeFi sob ataque

Em 11 de julho, vários aplicativos de finanças descentralizadas (DeFi) foram vítimas de um ataque significativo ao registro de domínio. A empresa de segurança Blockchain Blockaid identificou um incidente generalizado de sequestro de domínio que afetou Compound Finance, Celer Network e potencialmente 120 outros protocolos DeFi.

O ataque seguiu-se a um no registro DNS da Compound Finance, onde sua interface front-end em composta.finance foi redirecionada para um site de phishing equipado com um aplicativo drenador projetado para roubar tokens de usuários. A Compound Labs confirmou o comprometimento do front-end de seu site. No entanto, a Celer Network conseguiu impedir uma tentativa de aquisição semelhante graças ao seu sistema de monitoramento de domínio.

Investigação e descobertas iniciais

A investigação da Blockaid revelou que o invasor tinha como alvo nomes de domínio fornecidos pelo Squarespace. Isso coloca em risco qualquer aplicativo DeFi com um domínio Squarespace. O ataque foi detectado inicialmente como benigno em 6 de julho, mas se transformou em uma ameaça significativa em 11 de julho.

O ataque parece explorar vulnerabilidades nos registros DNS de projetos hospedados no Squarespace. Este método permite que invasores obtenham controle sobre um site e redirecionem o tráfego para sites de phishing maliciosos. 

O pesquisador Samczsun da Paradigm sugeriu que o hack pode ter se originado de contas do Google Domain usadas por esses protocolos. A aquisição do Google Domains pela Squarespace em um acordo de US$ 180 milhões no ano passado colocou todos os sites associados sob escrutínio.

Impacto e resposta mais amplos

0xngmi, desenvolvedor da plataforma de análise de blockchain DefiLlama, compartilhou uma lista de 126 protocolos DeFi que poderiam ser potencialmente afetados pelo ataque. Projetos proeminentes nesta lista incluem Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum e MantADAO.

Em resposta à ameaça, MetaMask, uma carteira Web3 popular, anunciou esforços para alertar os usuários sobre aplicativos potencialmente comprometidos. Os usuários do MetaMask que tentarem fazer transações em sites afetados receberão avisos do Blockaid.

Contexto histórico e implicações futuras

Este incidente é um dos vários ataques contra a indústria Web3 no ano passado. Em dezembro, um invasor injetou código malicioso na biblioteca Ledger Connect, impactando quase todo o ecossistema da Máquina Virtual Ethereum. Os métodos usados ​​para explorar os protocolos DeFi variam desde táticas sofisticadas de pré-registro até inscrições em massa de domínios misturados com domínios legítimos do Squarespace.

O ataque sublinha as vulnerabilidades nos sistemas de registo de domínio utilizados pelos protocolos DeFi e destaca a necessidade de medidas de segurança reforçadas para proteger estas plataformas de ameaças futuras.

Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Ele não é oferecido nem tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.