dYdX đã công bố bản khám nghiệm tử thi chi tiết về vụ hack tài khoản Squarespace, nêu rõ các sự kiện và phản hồi của chúng.
dYdX, một sàn giao dịch tiền điện tử nổi tiếng, đã thông báo vào ngày 23 tháng 7 rằng trang web phiên bản 3.0 của nó đã bị xâm phạm.
Nhà đăng ký tên miền cho https://t.co/Ym1dFLMmm5 (trước đây là Squarespace) đã xác nhận rằng vào ngày 23 tháng 7, tài khoản Squarespace của dYdX Trading đã bị các cá nhân trái phép truy cập sau khi họ hỗ trợ khách hàng Squarespace được thiết kế trên mạng xã hội thành công.
- dYdX (@dYdX) Ngày 25 tháng 7 năm 2024
Người dùng được khuyên nên tránh truy cập trang web phiên bản 3.0 hoặc nhấp vào bất kỳ liên kết nào cho đến khi có thông báo mới. Tuy nhiên, nhóm đảm bảo với người dùng rằng phiên bản 4.0 vẫn không bị ảnh hưởng và hoạt động bình thường.
dYdX đã công bố bản khám nghiệm tử thi chi tiết về vụ hack tài khoản Squarespace, nêu rõ các sự kiện và phản hồi của chúng. Sàn giao dịch đã quyết định thay đổi nhà đăng ký tên miền và tiếp tục hợp tác với SEAL cũng như các đối tác khác để ngăn chặn những sự cố trong tương lai.
Trang web dYdX Exchange bị xâm phạm do tấn công kỹ thuật xã hội
Theo khám nghiệm tử thi, vi phạm xảy ra sau khi các cá nhân truy cập trái phép vào tài khoản Squarespace của dYdX Trading thông qua một cuộc tấn công kỹ thuật xã hội nhằm vào bộ phận hỗ trợ khách hàng của Squarespace.
Trong vụ cướp miền trao đổi kéo dài hai giờ, hai người dùng đã mất số tiền tổng cộng khoảng 31.000 USD. dYdX Trading đang liên hệ với những người dùng bị ảnh hưởng để đảm bảo họ được bồi thường.
Vào năm 2023, Squarespace đã mua lại tất cả các miền từ Google Domains hiện không còn tồn tại và di chuyển chúng trong vài tháng. Miền dydx.exchange, thuộc sở hữu của dYdX Trading, đã được chuyển sang Squarespace vào ngày 15 tháng 6 năm 2024.
Vào ngày 9 tháng 7, những kẻ tấn công đã giành được quyền truy cập vào miền dydx.exchange và sửa đổi máy chủ tên DNS từ Cloudflare thành DDoS-Guard.
Cuộc tấn công ban đầu này đã được giảm thiểu nhờ cài đặt DNSSEC, ngăn người dùng truy cập vào trang web bị xâm nhập. DYdX đã nhanh chóng giải quyết vấn đề thông qua việc xoay vòng mật khẩu và xác thực hai yếu tố (2FA).
Sau các báo cáo về các cuộc tấn công tương tự vào các miền dành riêng cho tiền điện tử, SEAL, một nhóm bảo mật tập trung vào tiền điện tử, đã bắt đầu một cuộc điều tra. Người ta phát hiện ra rằng lỗ hổng OAuth trên Squarespace đã bị khai thác và Squarespace đã xử lý và sửa lỗi này vào ngày 12 tháng 7.
Mặc dù vậy, miền dydx.exchange lại bị xâm phạm vào ngày 23 tháng 7. Những kẻ tấn công đã thay đổi được Máy chủ tên DNS và xóa cài đặt DNSSEC, lưu trữ một trang web độc hại lừa người dùng chuyển mã thông báo Ethereum và ERC20.
Trong giai đoạn này, dYdX đã hợp tác với SEAL và các đối tác khác để chặn các trang web độc hại trên các ví tiền điện tử phổ biến như Metamask và Phantom. Bất chấp những nỗ lực này, hai người dùng đã mất 31.000 USD trong cuộc tấn công.
dYdX Exchange khôi phục trang web sau khi tài khoản Squarespace bị hack
Khám nghiệm tử thi tiết lộ thêm rằng kẻ tấn công đã đặt email quản trị viên tên miền thành một địa chỉ kết thúc bằng outlook.com, với tên người dùng tương tự với tên hợp pháp của quản trị viên thanh toán trên tài khoản của dYdX.
Sau khi bảo mật lại miền, các biện pháp kiểm soát bổ sung đã được thêm vào để đảm bảo điều này không bao giờ xảy ra nữa, bao gồm cả việc di chuyển miền sang Cloudflare.
- dYdX (@dYdX) Ngày 25 tháng 7 năm 2024
Điều này gợi ý một cuộc tấn công kỹ thuật xã hội vì kẻ tấn công đã sử dụng một địa chỉ email đáng tin cậy.
Theo dYdX, thông tin liên lạc của nó với Squarespace đã tiết lộ rằng lỗi của con người đã bắt đầu quá trình tiếp quản trong quá trình khôi phục tài khoản.
Kẻ tấn công đã bỏ qua 2FA và sửa đổi email tài khoản mà không cung cấp thông tin xác thực bảo mật hợp lệ. Dịch vụ khách hàng của Squarespace đã không cố gắng liên hệ với bất kỳ quản trị viên nào được liệt kê khác trên miền trước khi thực hiện những thay đổi này.
Trang web https://t.co/Ym1dFLLOwx đã được dYdX Trading Inc. phục hồi.
Xin lưu ý rằng máy của bạn có thể vẫn đang lưu vào bộ nhớ đệm trang web bị xâm nhập.
Đảm bảo xóa bộ nhớ cache và khởi động lại trình duyệt trước khi kết nối với trang web.
- dYdX (@dYdX) Ngày 23 tháng 7 năm 2024
Để đối phó với cuộc tấn công, dYdX đã chuyển đăng ký tên miền của mình sang Cloudflare để tăng cường bảo mật. Việc chuyển giao được tiến hành nhanh chóng và hoàn thành trong vòng sáu giờ.
dYdX xác nhận rằng không có vấn đề bảo mật nào xảy ra với các hợp đồng thông minh, hệ thống phụ trợ hoặc Chuỗi dYdX do sự cố.
Nhóm dYdX đã tuyên bố trên mạng xã hội X, khuyên người dùng nên xóa bộ nhớ đệm của trình duyệt và khởi động lại trình duyệt trước khi kết nối lại với trang web để đảm bảo họ không truy cập vào trang web bị xâm nhập.
