著名加密貨幣交易所 dYdX 於 7 月 23 日宣佈其 3.0 版網站遭到入侵。
建議用戶在另行通知之前不要訪問 3.0 版網站或點擊任何鏈接。不過,該團隊向用戶保證 4.0 版不會受到影響,並且運行正常。
dYdX 發佈了 Squarespace 帳戶黑客攻擊事件的詳細事後分析,概述了事件及其應對措施。該交易所已決定更換域名註冊商,並繼續與 SEAL 和其他合作伙伴合作,以防止未來再發生類似事件。
dYdX 交易所網站因社會工程攻擊而遭入侵
根據事後分析,此次泄密事件發生在未經授權的個人通過對 Squarespace 客戶支持進行社會工程攻擊訪問 dYdX Trading 的 Squarespace 帳戶之後。
在交易所域名被劫持的兩小時內,兩名用戶損失了總計約 31,000 美元的資金。dYdX Trading 正在與受影響的用戶聯繫,以確保他們得到賠償。
2023 年,Squarespace 從現已不復存在的 Google Domains 收購了所有域名,並在數月內完成了遷移。dYdX Trading 擁有的 dydx.exchange 域名於 2024 年 6 月 15 日遷移至 Squarespace。
7 月 9 日,攻擊者獲得了 dydx.exchange 域的訪問權限,並將 DNS 名稱服務器從 Cloudflare 修改爲 DDoS-Guard。
DNSSEC 設置可緩解此初始攻擊,阻止用戶訪問受感染的網站。DYdX 通過密碼和雙因素身份驗證 (2FA) 輪換迅速解決了此問題。
在收到針對加密專用域的類似攻擊報告後,專注於加密的安全團隊 SEAL 展開了調查。調查發現 Squarespace 上的一個 OAuth 漏洞已被利用,Squarespace 已於 7 月 12 日解決並修復了該漏洞。
儘管如此,dydx.exchange 域名在 7 月 23 日再次遭到入侵。攻擊者設法更改 DNS 名稱服務器並刪除 DNSSEC 設置,託管一個惡意網站,誘騙用戶轉移以太坊和 ERC20 代幣。
在此期間,dYdX 與 SEAL 和其他合作伙伴合作,封鎖了 Metamask 和 Phantom 等熱門加密錢包上的惡意網站。儘管採取了這些措施,但兩名用戶在攻擊中損失了 31,000 美元。
Squarespace 賬戶遭黑客攻擊後,dYdX Exchange 恢復網站
事後分析進一步顯示,攻擊者將域管理員電子郵件設置爲以 outlook.com 結尾的地址,用戶名與 dYdX 賬戶上計費管理員的法定名稱相似。這表明這是一種社會工程攻擊,因爲攻擊者使用了可信的電子郵件地址。
據 dYdX 稱,其與 Squarespace 的通信顯示,在賬戶恢復過程中出現人爲錯誤導致了接管。
攻擊者繞過 2FA 並在未提供有效安全憑證的情況下修改了帳戶電子郵件。Squarespace 的客戶服務在進行這些更改之前未嘗試聯繫域中列出的任何其他管理員。
爲了應對此次攻擊,dYdX 將其域名註冊轉移到 Cloudflare 以增強安全性。轉移過程加快,在六小時內完成。
dYdX 確認其智能合約、後端系統或 dYdX Chain 並未因此次事件而出現安全問題。
dYdX 團隊向社交媒體 X 表示,建議用戶在重新連接網站之前清除瀏覽器緩存並重新啓動瀏覽器,以確保他們沒有訪問受到感染的網站。