Vizând diverse aplicații de finanțare distribuită (DeFi), un hack de registru de domenii extrem de sofisticat pe 11 iulie a provocat redirecționări ilegale ale utilizatorilor către site-uri web periculoase.
Afectând protocoalele DeFi majore, cum ar fi Compound Finance și reprezentând o amenințare pentru multe altele din ecosistem, hack-ul folosește în cea mai mare parte nume de domenii găzduite de Squarespace, o platformă utilizată pe scară largă pentru crearea de site-uri web.
Intrări DNS modificate de atacatori
Atacatorii au schimbat intrările DNS, prin urmare, trimițând clienții care doresc acces la sisteme DeFi autorizate către site-uri web de phishing menite să adune informații și active private în loc de invers.
Utilizatorii care încercau să folosească interfața Compound Finance de la compound.finance au fost trimiși către un site fals, încărcat cu un program de scurgere destinat utilizării de simboluri, au dezvăluit prima dată problema.
am compilat o listă (parțială) de domenii conectate la spațiu pătrat care ar fi expusă riscului de a fi piratate rn, le-aș evita pentru momenthttps://t.co/Cih5YTgFL9
— 0xngmi (@0xngmi) 11 iulie 2024
Domeniul Celer Network a fost atacat în mod similar într-un eveniment comparabil; dar, sistemele sale de monitorizare au oprit cu succes atacul înainte ca orice daune să poată rezulta.
Celer Network a raportat atacul DNS la 1:38 p.m. UTC; Blockaid, o platformă de securitate blockchain, a verificat că înregistrările DNS modificate au afectat numeroase front-end-uri DeFi găzduite pe Squarespace până la ora 3:38 p.m. UTC.
Aceste evenimente au provocat o mulțime de dezbateri cu privire la defectele de securitate ale aplicațiilor DeFi în funcție de arhitectura convențională Web2. Experții în securitate cred că atacul a pornit de la conturile de domeniu Google utilizate de aceste platforme DeFi.
Toate site-urile conectate sunt acum supuse unei analize suplimentare după achiziționarea de către Squarespace a Google Domains pentru 180 de milioane de dolari.
Lista protocoalelor potențial afectate
Ulterior, 0xngmi, creatorul DefiLlama, a compilat peste 100 de protocoale DeFi posibil afectate. Numele notabile de pe această listă au inclus Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana și LooksRare.
Pendle Finance a sfătuit utilizatorii să nu folosească aplicația, deoarece încălcarea acesteia a fost dovedită și pagina sa a fost suspendată pentru scurt timp pentru a opri mai multă utilizare. Numerarul său a rămas în siguranță.
În timp ce Celer a reușit să identifice și să oprească atacul în prealabil, Compound a confirmat că domeniul lor a fost piratat, ceea ce a dus la redirecționarea către un site fraudulos.
Atât Compound Finance, cât și Celer au recunoscut preluarea DNS. Ambele companii încă se uită la întreaga amploare a hack-ului, în ciuda acestor măsuri.
Alertă Metamask
MetaMask, furnizorul de portofel Web3, reacționant, a setat alarme pentru consumatorii care efectuează tranzacții pe site-uri web piratate. Acest instrument urmărește să crească gradul de conștientizare a utilizatorilor cu privire la posibilele amenințări, reducând astfel șansele lor de furt de simboluri.
Mai mult, comunității i se recomandă să evite orice interacțiune cu aplicațiile DeFi găzduite pe domenii Squarespace până când pericolul este complet neutralizat pentru a opri furtul de active.
Amenințări continue și precauții necesare
Nici Celer Network, nici Compound Finance nu au recunoscut, pe măsură ce situația se dezvoltă, că amenințarea a fost eliminată total. Deși nu a fost încă înregistrat niciun furt de fonduri, o conștientizare sporită este încă destul de importantă.
Subliniind nevoia crucială a unor mecanisme de securitate puternice, acest episod actual se potrivește unei tendințe de creștere a riscurilor în zona Web3.
Evenimentele anterioare precum hack-ul Curve Finance de 70 de milioane de dolari și injecția de cod rău intenționat în biblioteca Ledger Connect în decembrie, care au afectat practic întregul ecosistem Ethereum Virtual Machine, demonstrează caracterul continuu și schimbător al acestor amenințări.
Discutate ca modalități posibile de a consolida ecosistemul cripto împotriva unor astfel de vulnerabilități includ inițiative precum botul SEAL 911 Telegram și consiliile de securitate cu jucători din industrie precum Coinbase.
Postarea DeFi Under Attack: Sophisticated Domain Hijacking Exposed a apărut prima dată pe Coinfomania.