dYdX, uma importante exchange de criptomoedas, anunciou em 23 de julho que seu site versão 3.0 havia sido comprometido.
Os usuários foram aconselhados a evitar visitar o site da versão 3.0 ou clicar em qualquer link até novo aviso. No entanto, a equipe garantiu aos usuários que a versão 4.0 não foi afetada e está funcionando normalmente.
A dYdX lançou uma análise detalhada da invasão da conta do Squarespace, descrevendo os eventos e suas respostas. A bolsa decidiu mudar os registradores de domínio e continua a trabalhar com o SEAL e outros parceiros para evitar incidentes futuros.
Site dYdX Exchange comprometido devido a ataque de engenharia social
De acordo com o post-mortem, a violação ocorreu depois que indivíduos não autorizados acessaram a conta Squarespace da dYdX Trading por meio de um ataque de engenharia social ao suporte ao cliente do Squarespace.
Durante o sequestro de duas horas do domínio da exchange, dois usuários perderam fundos totalizando aproximadamente US$ 31.000. A dYdX Trading está em contato com os usuários afetados para garantir que sejam compensados.
Em 2023, o Squarespace adquiriu todos os domínios do extinto Google Domains, migrando-os ao longo de vários meses. O domínio dydx.exchange, de propriedade da dYdX Trading, foi transferido para o Squarespace em 15 de junho de 2024.
Em 9 de julho, os invasores obtiveram acesso ao domínio dydx.exchange e modificaram os servidores de nomes DNS de Cloudflare para DDoS-Guard.
Este ataque inicial foi mitigado pelas configurações de DNSSEC, que impediram os usuários de acessar o site comprometido. DYdX resolveu rapidamente o problema por meio de rotações de senha e autenticação de dois fatores (2FA).
Após relatos de ataques semelhantes em domínios específicos de criptografia, a SEAL, uma equipe de segurança focada em criptografia, iniciou uma investigação. Foi descoberto que uma vulnerabilidade OAuth no Squarespace havia sido explorada, que o Squarespace resolveu e corrigiu em 12 de julho.
Apesar disso, o domínio dydx.exchange foi comprometido novamente em 23 de julho. Os invasores conseguiram alterar os servidores de nomes DNS e remover as configurações de DNSSEC, hospedando um site malicioso que enganou os usuários para que transferissem tokens Ethereum e ERC20.
Durante este período, a dYdX colaborou com o SEAL e outros parceiros para bloquear sites maliciosos em carteiras criptográficas populares como Metamask e Phantom. Apesar desses esforços, dois usuários perderam US$ 31 mil durante o ataque.
dYdX Exchange recupera site após invasão de conta Squarespace
A autópsia revelou ainda que o invasor configurou o e-mail do administrador do domínio para um endereço que termina em outlook.com, com um nome de usuário semelhante ao nome legal do administrador de cobrança na conta do dYdX. Isso sugeriu um ataque de engenharia social, já que o invasor usou um endereço de e-mail confiável.
De acordo com a dYdX, suas comunicações com o Squarespace revelaram que um erro humano iniciou a aquisição durante o processo de recuperação da conta.
O invasor contornou o 2FA e modificou o e-mail da conta sem fornecer credenciais de segurança válidas. O atendimento ao cliente do Squarespace não tentou entrar em contato com nenhum outro administrador listado no domínio antes de fazer essas alterações.
Em resposta ao ataque, a dYdX transferiu o registro de seu domínio para a Cloudflare para aumentar a segurança. A transferência foi acelerada e concluída em seis horas.
A dYdX confirmou que não houve problemas de segurança com seus contratos inteligentes, sistemas de back-end ou com a cadeia dYdX como resultado dos incidentes.
A equipe dYdX declarou a mídia social X, aconselhando os usuários a limpar o cache do navegador e reiniciá-lo antes de se reconectar ao site para garantir que não estavam acessando o site comprometido.
