Сложнейший взлом реестра доменов, нацеленный на различные приложения распределенного финансирования (DeFi), произошедший 11 июля, привел к незаконному перенаправлению пользователей на опасные веб-сайты.

Затронув основные протоколы DeFi, такие как Compound Finance, и представляя угрозу для многих других участников экосистемы, хакер в основном использует доменные имена, размещенные на Squarespace, широко используемой платформе для создания веб-сайтов.

Записи DNS изменены злоумышленниками

Злоумышленники изменили записи DNS, в результате чего клиенты, ищущие доступ к авторизованным системам DeFi, отправлялись на фишинговые веб-сайты, предназначенные для сбора частной информации и активов, а не наоборот.

Пользователи, пытавшиеся использовать интерфейс Compound Finance на сайте complex.finance, были отправлены на фальшивый веб-сайт, на котором была загружена программа-сливщик, предназначенная для перехвата токенов, которая первой выявила проблему.

составил (частичный) список доменов, подключенных к квадратному пространству, которые могут быть взломаны, я бы пока избегал их https://t.co/Cih5YTgFL9

— 0xngmi (@0xngmi) 11 июля 2024 г.

Домен Celer Network подвергся аналогичной атаке; но его системы мониторинга успешно остановили атаку до того, как был нанесен какой-либо ущерб.

Celer Network сообщила о нападении на DNS в 13:38. УНИВЕРСАЛЬНОЕ ГЛОБАЛЬНОЕ ВРЕМЯ; Blockaid, платформа безопасности блокчейна, к 15:38 подтвердила, что измененные записи DNS затронули многочисленные интерфейсы DeFi, размещенные на Squarespace. УНИВЕРСАЛЬНОЕ ГЛОБАЛЬНОЕ ВРЕМЯ.

Эти события вызвали множество дискуссий о недостатках безопасности приложений DeFi, зависящих от традиционной архитектуры Web2. Эксперты по безопасности полагают, что атака началась с учетных записей домена Google, используемых этими платформами DeFi.

Все связанные сайты в настоящее время находятся под дальнейшим контролем после того, как Squarespace приобрела Google Domains за 180 миллионов долларов.

Список потенциально затронутых протоколов

Впоследствии 0xngmi, создатель DefiLlama, скомпилировал более 100 протоколов DeFi, возможно, затронутых. Известные имена в этом списке включали Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana и LooksRare.

Pendle Finance посоветовала пользователям не использовать приложение, поскольку его нарушение было доказано, а его страница была ненадолго заблокирована, чтобы прекратить дальнейшее использование. Его деньги остались в безопасности.

Хотя Celer удалось заранее выявить и остановить атаку, Compound подтвердил, что их домен был взломан, что привело к перенаправлению на мошеннический сайт.

И Compound Finance, и Celer признали поглощение DNS. Обе компании все еще расследуют масштабы взлома, несмотря на эти меры.

Метамаска оповещения

В ответ известный поставщик кошельков Web3 MetaMask установил сигналы тревоги для потребителей, совершающих транзакции на взломанных веб-сайтах. Этот инструмент призван повысить осведомленность пользователей о возможных угрозах, тем самым снижая вероятность кражи токенов.

Более того, сообществу рекомендуется избегать любого взаимодействия с приложениями DeFi, размещенными в доменах Squarespace, до тех пор, пока опасность не будет полностью нейтрализована, чтобы остановить кражу активов.

Постоянные угрозы и необходимые меры предосторожности

Ни Celer Network, ни Compound Finance по мере развития ситуации не признали, что угроза полностью устранена. Хотя еще не было зарегистрировано ни одного хищения средств, повышение осведомленности по-прежнему весьма важно.

Этот нынешний эпизод подчеркивает острую необходимость в надежных механизмах безопасности и соответствует тенденции роста рисков в области Web3.

Предыдущие события, такие как взлом Curve Finance стоимостью 70 миллионов долларов и внедрение вредоносного кода в библиотеку Ledger Connect в декабре, затронувшие практически всю экосистему виртуальных машин Ethereum, демонстрируют непрерывный и меняющийся характер этих угроз.

В качестве возможных способов укрепления криптоэкосистемы против таких уязвимостей обсуждаются такие инициативы, как бот SEAL 911 Telegram и советы безопасности с такими игроками отрасли, как Coinbase.

Сообщение DeFi под атакой: разоблачение сложного захвата домена впервые появилось на Coinfomania.