Un atac semnificativ la registrul de domenii a compromis DNS-ul mai multor aplicații DeFi, inclusiv Compound și Celer Network, afectând potențial peste 120 de protocoale care utilizează domenii Squarespace.

Aplicații DeFi atacate

Pe 11 iulie, mai multe aplicații de finanțare descentralizată (DeFi) au devenit victimele unui atac semnificativ de registru de domenii. Firma de securitate Blockchain Blockaid a identificat un incident larg răspândit de deturnare a domeniului care a afectat Compound Finance, Celer Network și, potențial, alte 120 de protocoale DeFi.

Atacul a urmat unuia din registrul DNS al Compound Finance, unde interfața sa front-end de la compound.finance a fost redirecționată către un site de phishing echipat cu o aplicație de scurgere concepută pentru a fura jetoane de utilizator. Compound Labs a confirmat compromisul front-end-ului site-ului lor. Cu toate acestea, Celer Network a reușit să împiedice o încercare similară de preluare datorită sistemului său de monitorizare a domeniului.

Investigație și constatări inițiale

Investigația Blockaid a arătat că atacatorul a vizat nume de domenii furnizate de Squarespace. Acest lucru pune în pericol orice aplicație DeFi cu un domeniu Squarespace. Atacul a fost detectat inițial ca benign pe 6 iulie, dar a devenit o amenințare semnificativă până pe 11 iulie.

Atacul pare să exploateze vulnerabilități din înregistrările DNS ale proiectelor găzduite pe Squarespace. Această metodă permite atacatorilor să obțină controlul asupra unui site web și să redirecționeze traficul către site-uri de phishing rău intenționate. 

Cercetătorul samczsun de la Paradigm a sugerat că hack-ul ar fi putut proveni din conturile Google Domain utilizate de aceste protocoale. Achiziția de către Squarespace a Google Domains într-o tranzacție de 180 de milioane de dolari anul trecut a pus toate site-urile web asociate sub control.

Impact și răspuns mai larg

0xngmi, un dezvoltator de la platforma de analiză blockchain DefiLlama, a distribuit o listă de 126 de protocoale DeFi care ar putea fi potențial afectate de atac. Proiectele proeminente de pe această listă includ Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum și MantaDAO.

Ca răspuns la amenințare, MetaMask, un portofel popular Web3, a anunțat eforturile de a avertiza utilizatorii despre aplicațiile potențial compromise. Utilizatorii MetaMask care încearcă să facă tranzacții pe site-uri cunoscute afectate vor primi avertismente de la Blockaid.

Context istoric și implicații viitoare

Acest incident este unul dintre numeroasele atacuri împotriva industriei Web3 din ultimul an. În decembrie, un atacator a injectat cod rău intenționat în biblioteca Ledger Connect, impactând aproape întregul ecosistem Ethereum Virtual Machine. Metodele folosite pentru a exploata protocoalele DeFi variază de la tactici sofisticate de preînregistrare până la înscrieri în masă la domenii combinate cu domenii legitime Squarespace.

Atacul subliniază vulnerabilitățile sistemelor de înregistrare a domeniilor utilizate de protocoalele DeFi și evidențiază necesitatea unor măsuri de securitate îmbunătățite pentru a proteja aceste platforme de amenințările viitoare.

Disclaimer: Acest articol este oferit doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca consiliere juridică, fiscală, de investiții, financiară sau de altă natură.