TLDR

  • Mai multe protocoale DeFi, inclusiv Compound Finance și Celer Network, au fost vizate de un atac de deturnare a DNS.

  • Atacul pare să vizeze domenii înregistrate prin Squarespace.

  • Peste 220 de front-end-uri de protocol DeFi pot fi încă în pericol.

  • Se crede că atacatorii folosesc setul de portofel Inferno Drainer pentru a fura fonduri.

  • Unele măsuri de securitate, cum ar fi solicitarea de semnături de portofel pentru actualizările DNS, au fost sugerate pentru a preveni atacurile viitoare.

La 11 iulie 2024, mai multe protocoale de finanțare descentralizată (DeFi) au fost lovite de un atac de deturnare a DNS. Incidentul a afectat jucători importanți din spațiul cripto, inclusiv Compound Finance și Celer Network.

Experții în securitate cred că atacul vizează domeniile înregistrate prin Squarespace, o platformă de găzduire și constructor de site-uri populare.

Atacul a fost observat pentru prima dată când utilizatorii au raportat că site-ul web Compound Finance (compound.finance) redirecționa către o pagină rău intenționată.

Această pagină falsă conținea o aplicație „de scurgere” concepută pentru a fura jetoanele criptomonede ale utilizatorilor. La scurt timp după, Celer Network a anunțat că a fost și el vizat, dar sistemul său de monitorizare a domeniului a prins atacul înainte de a reuși.

Firma de securitate Blockchain Blockaid a monitorizat îndeaproape situația. Potrivit lui Ido Ben-Natan, co-fondator și CEO al Blockaid, atacatorii au vizat înregistrările DNS găzduite pe Squarespace. Aceste înregistrări au fost redirecționate către adrese IP cunoscute pentru activități rău intenționate.

⚠ Situație în curs de dezvoltare – Mai multe front-end-uri DeFi sunt expuse riscului de deturnare, având deja loc câteva incidente, proiecte precum @compoundfinance și @CelerNetwork fiind piratate în ultimele 24 de ore.

Vom actualiza acest thread cu detalii pe măsură ce mergem. pic.twitter.com/iWQR0ByIgB

— Blockaid (@blockaid_) 11 iulie 2024

Ben-Natan a declarat că, deși amploarea completă a deturnării nu este încă cunoscută, aproximativ 228 de front-end-uri de protocol DeFi ar putea fi încă în pericol.

Se crede că atacul este opera unui grup cunoscut sub numele de Inferno Drainer. Acest grup este activ de ceva timp, vizând diverse protocoale DeFi și exploatând diferite vulnerabilități.

Setul lor de portofel le permite infractorilor cibernetici să păcălească utilizatorii să semneze tranzacții rău intenționate, oferind atacatorilor controlul asupra activelor lor digitale.

Cercetătorii în domeniul securității au identificat infrastructura partajată utilizată de grupul Inferno Drainer, facilitând urmărirea și identificarea atacurilor asociate.

Blockaid a lucrat îndeaproape cu comunitatea cripto pentru a menține un canal deschis pentru raportarea site-urilor compromise.

Incidentul a stârnit discuții despre îmbunătățirea măsurilor de securitate pentru protocoalele DeFi. Matthew Gould, fondatorul furnizorului de domenii Web3 Unstoppable Domains, a sugerat crearea de înregistrări verificate în lanț pentru domenii. Acest lucru ar adăuga un nivel suplimentar de protecție pentru browsere și alte sisteme de verificat, contribuind la reducerea riscului de atacuri DNS.

Gould a propus, de asemenea, o nouă caracteristică în care actualizările DNS ar necesita o semnătură din portofelul utilizatorului. Acest lucru ar face mult mai dificil pentru hackeri, deoarece ar trebui să compromită separat atât registratorul, cât și portofelul utilizatorului.

Ca răspuns la atac, mai multe proiecte și platforme cripto au luat măsuri. MetaMask, un portofel popular Web3, a anunțat că lucrează pentru a avertiza utilizatorii cu privire la aplicațiile potențial compromise asociate cu atacul.

Utilizatorii care încearcă să facă tranzacții pe orice site cunoscut implicat în atacul actual vor vedea un avertisment oferit de Blockaid.

Pentru cei dintre voi care folosesc MetaMask, veți vedea un avertisment oferit de @blockaid_ dacă încercați să tranzacționați pe orice site cunoscut care este implicat în acest atac actual.#mmsecurityhttps://t.co/Fk0sAjaeit

— MetaMask ??????? (@MetaMask) 11 iulie 2024

Comunitatea cripto s-a adunat pentru a răspândi conștientizarea și a minimiza daunele potențiale. Dezvoltatorul DefiLlama 0xngmi a distribuit o listă cu peste 100 de protocoale DeFi care ar putea fi afectate de atac, inclusiv nume binecunoscute precum Pendle Finance, dYdX, Polymarket și LooksRare.

Postarea atacului de deturnare a DNS vizează mai multe protocoale DeFi a apărut mai întâi pe Blockonomi.