Значна атака на реєстр доменів скомпрометувала DNS кількох програм DeFi, зокрема Compound і Celer Network, потенційно вплинувши на понад 120 протоколів, які використовують домени Squarespace.

Програми DeFi під атакою

11 липня численні децентралізовані фінансові програми (DeFi) стали жертвами значної атаки на реєстр доменів. Фірма безпеки блокчейну Blockaid виявила широкомасштабний інцидент викрадення домену, який вплинув на Compound Finance, Celer Network і, можливо, на 120 інших протоколів DeFi.

Атака відбулася після атаки на DNS-реєстр Compound Finance, де його зовнішній інтерфейс на компаунді.finance було перенаправлено на фішинговий сайт, оснащений програмою дренажу, призначеною для крадіжки токенів користувачів. Compound Labs підтвердила компрометацію інтерфейсу веб-сайту. Однак Celer Network вдалося перешкодити подібній спробі захоплення завдяки своїй системі моніторингу домену.

Розслідування та початкові висновки

Розслідування Blockaid показало, що зловмисник націлився на доменні імена, надані Squarespace. Це ставить під загрозу будь-який додаток DeFi із доменом Squarespace. Спочатку атаку було виявлено як нешкідливу 6 липня, але до 11 липня вона переросла в значну загрозу.

Схоже, що атака використовує вразливості в DNS-записах проектів, розміщених на Squarespace. Цей метод дозволяє зловмисникам отримати контроль над веб-сайтом і перенаправити трафік на шкідливі фішингові сайти. 

Дослідник samczsun з Paradigm припустив, що злом міг виникнути через облікові записи Google Domain, які використовуються цими протоколами. Придбання Squarespace Google Domains в рамках угоди на суму 180 мільйонів доларів минулого року поставило всі пов’язані веб-сайти під пильну увагу.

Ширший вплив і реакція

0xngmi, розробник платформи аналітики блокчейнів DefiLlama, поділився списком із 126 протоколів DeFi, на які потенційно може вплинути атака. До відомих проектів у цьому списку входять Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum і MantaDAO.

У відповідь на загрозу MetaMask, популярний гаманець Web3, оголосив про спроби попередити користувачів про потенційно скомпрометовані програми. Користувачі MetaMask, які намагатимуться здійснити транзакцію на відомих уражених сайтах, отримають попередження від Blockaid.

Історичний контекст і майбутні наслідки

Цей інцидент є однією з кількох атак на індустрію Web3 за останній рік. У грудні зловмисник впровадив шкідливий код у бібліотеку Ledger Connect, вплинувши майже на всю екосистему віртуальної машини Ethereum. Методи, які використовуються для використання протоколів DeFi, варіюються від складних тактик попередньої реєстрації до масових реєстрацій доменів, змішаних із законними доменами Squarespace.

Атака підкреслює вразливість систем реєстрації доменів, які використовуються протоколами DeFi, і підкреслює необхідність посилених заходів безпеки для захисту цих платформ від майбутніх загроз.

Відмова від відповідальності: ця стаття надається лише для інформаційних цілей. Він не пропонується та не призначений для використання як юридичні, податкові, інвестиційні, фінансові чи інші поради.