Một cuộc tấn công đăng ký miền đáng kể đã xâm phạm DNS của nhiều ứng dụng DeFi, bao gồm cả Mạng phức hợp và Celer, có khả năng ảnh hưởng đến hơn 120 giao thức sử dụng miền Squarespace.

Ứng dụng DeFi đang bị tấn công

Vào ngày 11 tháng 7, nhiều ứng dụng tài chính phi tập trung (DeFi) đã trở thành nạn nhân của một cuộc tấn công đăng ký tên miền nghiêm trọng. Công ty bảo mật chuỗi khối Blockaid đã xác định một sự cố chiếm quyền điều khiển tên miền trên diện rộng ảnh hưởng đến Tài chính phức hợp, Mạng Celer và có thể là 120 giao thức DeFi khác.

Cuộc tấn công diễn ra sau một cuộc tấn công vào cơ quan đăng ký DNS của Complex Finance, trong đó giao diện front-end của nó tại complex.finance được chuyển hướng đến một trang web lừa đảo được trang bị một ứng dụng thoát nước được thiết kế để đánh cắp mã thông báo của người dùng. Phòng thí nghiệm phức hợp đã xác nhận sự xâm nhập vào giao diện người dùng trang web của họ. Tuy nhiên, Celer Network đã ngăn chặn được nỗ lực tiếp quản tương tự nhờ hệ thống giám sát tên miền của mình.

Điều tra và phát hiện ban đầu

Cuộc điều tra của Blockaid tiết lộ rằng kẻ tấn công đã nhắm mục tiêu vào các tên miền do Squarespace cung cấp. Điều này khiến bất kỳ ứng dụng DeFi nào có miền Squarespace đều gặp rủi ro. Cuộc tấn công ban đầu được phát hiện là lành tính vào ngày 6 tháng 7 nhưng đã leo thang thành mối đe dọa đáng kể vào ngày 11 tháng 7.

Cuộc tấn công dường như khai thác lỗ hổng trong bản ghi DNS của các dự án được lưu trữ trên Squarespace. Phương pháp này cho phép kẻ tấn công giành quyền kiểm soát một trang web và chuyển hướng lưu lượng truy cập đến các trang lừa đảo độc hại. 

Nhà nghiên cứu samczsun từ Paradigm cho rằng vụ hack có thể bắt nguồn từ các tài khoản Google Domain được sử dụng bởi các giao thức này. Việc Squarespace mua lại Google Domains trong một thỏa thuận trị giá 180 triệu USD vào năm ngoái đã khiến tất cả các trang web liên quan bị giám sát chặt chẽ.

Tác động và phản ứng rộng hơn

0xngmi, một nhà phát triển từ nền tảng phân tích blockchain DefiLlama, đã chia sẻ danh sách 126 giao thức DeFi có thể bị ảnh hưởng bởi cuộc tấn công. Các dự án nổi bật trong danh sách này bao gồm Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum và MantaDAO.

Để đối phó với mối đe dọa này, MetaMask, một ví Web3 phổ biến, đã công bố nỗ lực cảnh báo người dùng về các ứng dụng có khả năng bị xâm phạm. Người dùng MetaMask cố gắng giao dịch trên các trang web bị ảnh hưởng đã biết sẽ nhận được cảnh báo từ Blockaid.

Bối cảnh lịch sử và ý nghĩa tương lai

Sự cố này là một trong nhiều cuộc tấn công nhằm vào ngành Web3 trong năm qua. Vào tháng 12, kẻ tấn công đã tiêm mã độc vào thư viện Ledger Connect, ảnh hưởng đến gần như toàn bộ hệ sinh thái Máy ảo Ethereum. Các phương pháp được sử dụng để khai thác các giao thức DeFi bao gồm từ các chiến thuật đăng ký trước phức tạp đến đăng ký tên miền hàng loạt kết hợp với các miền Squarespace hợp pháp.

Cuộc tấn công nhấn mạnh các lỗ hổng trong hệ thống đăng ký tên miền được các giao thức DeFi sử dụng và nêu bật sự cần thiết phải có các biện pháp bảo mật nâng cao để bảo vệ các nền tảng này khỏi các mối đe dọa trong tương lai.

Tuyên bố miễn trừ trách nhiệm: Bài viết này được cung cấp chỉ nhằm mục đích cung cấp thông tin. Nó không được cung cấp hoặc nhằm mục đích sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.