TLDR
Кілька протоколів DeFi, включно з Compound Finance і Celer Network, були спрямовані під час атаки викрадення DNS.
Схоже, що атака спрямована на домени, зареєстровані через Squarespace.
Понад 220 інтерфейсів протоколу DeFi все ще можуть бути під загрозою.
Вважається, що зловмисники використовують набір гаманців Inferno Drainer для крадіжки коштів.
Щоб запобігти майбутнім атакам, було запропоновано деякі заходи безпеки, як-от запит на підписи гаманця для оновлень DNS.
11 липня 2024 року кілька протоколів децентралізованих фінансів (DeFi) були вражені атакою викрадення DNS. Інцидент торкнувся основних гравців у криптопросторі, включаючи Compound Finance і Celer Network.
Експерти з безпеки вважають, що атака спрямована на домени, зареєстровані через Squarespace, популярну платформу для створення веб-сайтів і хостингу.
Вперше атаку було помічено, коли користувачі повідомили, що веб-сайт Compound Finance (compound.finance) переспрямовує на шкідливу сторінку.
Ця фейкова сторінка містила програму «зливу», призначену для крадіжки токенів криптовалюти користувачів. Незабаром після цього Celer Network оголосила, що вона також стала мішенню, але її система моніторингу домену зафіксувала атаку, перш ніж вона встигла вдатися.
Фірма безпеки блокчейнів Blockaid уважно стежить за ситуацією. За словами Ідо Бен-Натана, співзасновника та генерального директора Blockaid, зловмисники націлилися на записи DNS, розміщені на Squarespace. Ці записи були перенаправлені на IP-адреси, відомі зловмисними діями.
Ситуація, що розвивається. Кілька інтерфейсів DeFi знаходяться під загрозою викрадення, кілька інцидентів уже відбулися, а проекти, такі як @compoundfinance і @CelerNetwork, були зламані за останні 24 години.
Ми будемо оновлювати цей ланцюжок подробицями по ходу роботи. pic.twitter.com/iWQR0ByIgB
— Blockaid (@blockaid_) 11 липня 2024 р
Бен-Натан заявив, що хоча повний масштаб викрадення ще не відомий, приблизно 228 інтерфейсів протоколу DeFi все ще можуть бути під загрозою.
Вважається, що атака є роботою групи, відомої як Inferno Drainer. Ця група була активною протягом деякого часу, націлюючись на різні протоколи DeFi і використовуючи різні вразливості.
Їхній набір гаманців дозволяє кіберзлочинцям обманом змушувати користувачів підписувати зловмисні транзакції, надаючи зловмисникам контроль над їхніми цифровими активами.
Дослідники безпеки виявили спільну інфраструктуру, яку використовує група Inferno Drainer, що полегшує відстеження та ідентифікацію пов’язаних атак.
Blockaid тісно співпрацює з крипто-спільнотою, щоб підтримувати відкритий канал для повідомлення про скомпрометовані сайти.
Інцидент викликав дискусії щодо покращення заходів безпеки для протоколів DeFi. Метью Гулд, засновник постачальника доменів Web3 Unstoppable Domains, запропонував створити перевірені записи в ланцюжку для доменів. Це додасть додатковий рівень захисту для перевірки браузерів та інших систем, що допоможе зменшити ризик DNS-атак.
Гулд також запропонував нову функцію, де оновлення DNS вимагатимуть підпису з гаманця користувача. Це значно ускладнить роботу хакерам, оскільки їм потрібно буде скомпрометувати як реєстратора, так і гаманець користувача окремо.
У відповідь на атаку кілька криптопроектів і платформ вжили заходів. MetaMask, популярний гаманець Web3, оголосив, що працює над попередженням користувачів про потенційно скомпрометовані програми, пов’язані з атакою.
Користувачі, які намагаються здійснити транзакцію на будь-якому відомому сайті, залученому до поточної атаки, побачать попередження від Blockaid.
Для тих із вас, хто використовує MetaMask, ви побачите попередження від @blockaid_, якщо спробуєте здійснити транзакцію на будь-якому відомому сайті, залученому до поточної атаки.#mmsecurityhttps://t.co/Fk0sAjaeit
— MetaMask ???????? (@MetaMask) 11 липня 2024 р
Криптоспільнота об’єдналася, щоб поширити обізнаність і мінімізувати потенційну шкоду. Розробник DefiLlama 0xngmi поділився списком із понад 100 протоколів DeFi, на які може вплинути атака, включаючи такі відомі імена, як Pendle Finance, dYdX, Polymarket і LooksRare.
Повідомлення Атака з перехопленням DNS спрямована на кілька протоколів DeFi вперше з’явилася на Blockonomi.
