Wichtige Erkenntnisse
Am Mittwoch, dem 1. November, wurden Frax Finance-Domains nach einem DNS-Angriff gekapert. Glücklicherweise gab es keine Berichte über den Verlust von Benutzergeldern.
Angriffe auf das Domain Name System (DNS) werden von böswilligen Akteuren gestartet, die versuchen, Domänen zu übernehmen und Internetnutzer, die versuchen, legitime Websites zu besuchen, auf bösartige Websites umzuleiten, die unter ihrer Kontrolle stehen.
DNS-Angriffe werden im Bereich der Kryptowährungen immer häufiger und besorgniserregender, und im vergangenen Jahr ist ein Anstieg dieser Art von Vorfällen zu verzeichnen.
Am 1. November wurden die Domänen der Kryptowährungs-Kreditplattform Frax Finance von Angreifern gekapert, die versuchten, ihren Datenverkehr zu übernehmen und auf bösartige Domänen umzuleiten. Glücklicherweise erlangte das Projektteam schnell wieder die Kontrolle über diese Bereiche und die Gelder der Nutzer wurden nicht gefährdet.
Ähnliche Angriffe, sogenannte „DNS-Angriffe“, werden im Kryptowährungsbereich immer häufiger und besorgniserregender. Angesichts der vollständig digitalen Existenz des Sektors und der darin zirkulierenden Kapitalströme können Hacker, denen es gelingt, Sicherheitslücken auszunutzen, große Gewinne erzielen. Um die Sicherheit der Gelder zu gewährleisten, ist es unerlässlich, Benutzer und Projektentwickler über die neuesten Betrugstaktiken und Maßnahmen zur Risikokontrolle zu informieren.
In diesem Artikel werden der jüngste Hack von Frax Finance sowie die Lehren, die aus diesem Vorfall gezogen werden können, vorgestellt, DNS-Angriffe detailliert beschrieben und erklärt, wie man ihnen vorbeugen kann.
Was ist ein DNS-Server?
Sehen wir uns zunächst an, wie ein DNS-Server funktioniert. Es ist eines der wichtigsten Tools für das einfache Surfen im Internet. DNS-Server übersetzen Domänennamen in numerische IP-Adressen (Internet Protocol), die ihren Standort im Internet darstellen.
Sobald ein Benutzer einen Domainnamen wie „www.binance.com“ eingibt, sendet sein Gerät eine Anfrage an einen DNS-Server, um nach der IP-Adresse zu fragen. Normalerweise durchläuft diese Anfrage mehrere DNS-Server, bis sie die entsprechende Adresse erreicht.
Stellen Sie sich das Internet als ein gigantisches, hochkomplexes Autobahnsystem vor, bei dem jede Straße zu einer separaten Website führt. Auf diesen Straßen fungieren DNS-Server als Verkehrspolizei und lenken Autos in die richtige Richtung. Das Surfen im Internet ohne DNS-Server wäre ein bisschen so, als würde man in einem fremden Land ohne Karte, GPS oder Verkehrsschild fahren: Es ist unmöglich, sich unterwegs nicht zu verlaufen.
DNS-Angriffe
DNS-Server basieren auf Vertrauen. Wir vertrauen darauf, dass das System uns zur richtigen Website führt. In der Überzeugung, dass wir uns auf einer geschützten Website befinden, geben wir vertrauliche Informationen ein, darunter unsere Anmeldedaten, unsere persönlichen Daten und sogar unsere Bankdaten. Was würde passieren, wenn einer dieser Server von jemandem mit böswilliger Absicht kompromittiert würde?
Ein DNS-Angriff liegt vor, wenn ein böswilliger Akteur versucht, Sie von der legitimen Website, auf die Sie zugreifen möchten, zu entführen und Sie auf eine von ihm kontrollierte gefälschte Website umzuleiten. Um die obige Autobahnmetapher zu verwenden: Es ist so, als würde jemand die Verkehrsschilder ändern, um Sie zum Haus eines Diebes zu bringen, anstatt Sie nach Hause zu bringen.
DNS-Angriffe können auf viele verschiedene Arten erfolgen und unterschiedliche Methoden und Techniken nutzen, typischerweise um Dienste zu stören oder vertrauliche Informationen zu stehlen. Die beiden häufigsten DNS-Angriffstechniken sind Cache-Poisoning und Domain-Hijacking. Beim Cache-Poisoning übermittelt der Angreifer falsche Informationen an einen DNS-Server, um den Datenverkehr von einer legitimen Website auf eine von ihm kontrollierte bösartige Website umzuleiten. Beim Domain-Hijacking übernimmt der Kriminelle ohne die Genehmigung des rechtmäßigen Eigentümers die Kontrolle über die Domain selbst.
Der Fall Frax Finance
Im Rahmen des jüngsten Angriffs auf Frax Finance versuchten Hacker, die Domains „frax.com“ und „frax.finance“ zu übernehmen. Als das Projektteam von dem Angriff erfuhr, informierte es umgehend seine Community auf X (ehemals Twitter) und riet Internetnutzern davon ab, auf die kompromittierten Domains zuzugreifen.
Sie kontaktierte auch ihren DNS-Anbieter (Name.com), der schnell die Kontrolle über die Domänen zurückerlangte und sie an die richtigen Nameserver und Konfigurationen umleitete. Obwohl die Untersuchung der Grundursache des Vorfalls noch andauert, wurde kein Verlust von Benutzergeldern gemeldet.
Inkompatibilität des SSL-Zertifikats
Ein Secure Sockets Layer (SSL)-Zertifikat ist der digitale Pass einer Website und ein wichtiges Tool für die Cybersicherheit. So wie ein Reisepass Ihre Identität während einer Reise bestätigt, bestätigt ein SSL-Zertifikat die einer Website auf Ihrem Computer. SSL-Zertifikate stellen außerdem sicher, dass die zwischen einem Computer und einer Website ausgetauschten Informationen verschlüsselt werden, sodass sie nicht von anderen gelesen werden können. Diese Funktion ist besonders wichtig für vertrauliche Informationen wie Anmeldeinformationen.
Ein kompromittierter DNS-Server versucht, Benutzer auf eine andere Website umzuleiten, was zu einer Nichtübereinstimmung des SSL-Zertifikats führt, die Benutzer effektiv auf ein Problem mit der Website aufmerksam macht. Hier ist ein Beispiel.
Ein konkretes Beispiel
Nehmen wir an, dass es eine ursprüngliche Domain namens „binancedefiapp.com“ gibt, die auf einem Server mit der IP-Adresse 192.168.0.1 gehostet wird. Dieser DNS-Server wurde kompromittiert: Ein böswilliger Akteur hat die DNS-Daten geändert, sodass „binancedefiapp.com“ jetzt unter der IP-Adresse 192.168.2.2 gehostet wird, wo der Angreifer seine eigene bösartige Version der Originalwebsite hochgeladen hat. Allerdings benötigt er ein SSL-Zertifikat, um den Eindruck zu erwecken, dass seine Website sicher sei.
Wenn die Verbindung zur Website unsicher ist und eine HTTP-Adresse (Hypertext Transfer Protocol) anstelle einer HTTPS-Adresse (Hypertext Transfer Protocol Secure) zurückgibt, was normalerweise durch ein grünes Vorhängeschloss in der Adressleiste des Browsers (oder ein ähnliches Symbol) angezeigt wird, sollte dies angezeigt werden der Verdacht der Seitenbesucher.
Der Angreifer kann kein SSL-Zertifikat für die Domain „binancedefiapp.com“ erhalten, da nur ein DNS-Server kompromittiert ist. Um ein gültiges Zertifikat für eine bestimmte Domain zu generieren, muss er einem Drittaussteller nachweisen, dass er der Eigentümer dieser Domain ist. Dies ist ihm jedoch nicht möglich, da der Hacker nur über einen DNS-Server verfügt. In diesem Fall entspricht kein vorhandenes Zertifikat dem Hostnamen, da der Angreifer das für eine andere Domäne ausgestellte Zertifikat behalten muss. Wenn ein Internetnutzer eine solche Website aufruft, kann sein Browser erkennen, ob das Zertifikat für die aktuell angezeigte Domain ausgestellt ist oder nicht. Wenn eine Inkompatibilität festgestellt wird, wird der folgende Fehler generiert:
Wenn diese Meldung angezeigt wird, sollten Sie die betreffende Website am besten nicht weiter aufrufen.
Interne und externe DNS-Server
Im Internet gibt es mehrere DNS-Server; Es ist daher nicht möglich, sie alle zu vergiften. Interne DNS-Server, die beispielsweise in einer geschlossenen internen Umgebung (einem Unternehmensnetzwerk oder einem benutzerdefinierten DNS-Server) betrieben werden, sind einfachere Ziele als öffentliche DNS-Server, wie z. B. die offenen Resolver von Google.
Auch wenn die DNS-Server von Google ebenfalls von einer Vergiftung bedroht sind, bleibt die Wahrscheinlichkeit dafür relativ gering, und wenn sie dennoch betroffen wären, würden die Teams mit Sicherheit sehr schnell reagieren und die Internetnutzer alarmieren. Im Gegensatz dazu werden eigenständige oder benutzerdefinierte DNS-Server oft weniger genau überwacht und sind weniger sicher. Generell wird empfohlen, IP-Adressen mit den öffentlichen Resolvern von Google oder anderen vertrauenswürdigen, öffentlich zugänglichen Anbietern aufzulösen.
Wie schützt man sich vor DNS-Angriffen?
DNS-Sicherheitsrisiken lassen sich im Allgemeinen in zwei große Kategorien einteilen: Infektion von Endbenutzergeräten und Hacking von DNS-Servern. Der Rat, nicht zum Opfer zu werden, hängt davon ab, ob es sich um den einen oder anderen Fall handelt.
Wenn das Gerät des Endbenutzers kompromittiert ist:
Das Gerät des Endbenutzers wird von einem Angreifer kontrolliert oder infiziert, der den DNS-Cache vergiftet oder die Domäne kapert. Folgendes kann der Endbenutzer in diesem Szenario tun:
Klicken Sie nicht auf verdächtige Links und installieren Sie keine Software oder Browser-Plug-ins aus unbekannten Quellen.
Verwenden Sie keine öffentlichen WLAN-Netzwerke mit unsicheren Sicherheitsmerkmalen.
Leeren Sie regelmäßig den DNS-Cache.
Führen Sie regelmäßige Scans durch, um das Vorhandensein von Malware auf Geräten zu erkennen.
Leider entstehen die meisten Probleme beim Kunden oder Endbenutzer, und Projektentwickler haben keine Möglichkeit, diese Gefahren dauerhaft zu beseitigen. Das Projektteam ist sich der Infektion des DNS seines Kunden nur sehr selten bewusst und kann, abgesehen von der Einrichtung nachfolgender Beschwerdekanäle für Kunden, die Benutzer nur proaktiv über diese Bedrohungen informieren.
Wenn der DNS-Server kompromittiert ist:
Ein Hacker nutzt Sicherheitslücken aus oder nutzt Social-Engineering-Taktiken, um die Kontrolle über DNS-Server zu übernehmen, was häufig zu Änderungen an DNS-Einträgen führt. Folgendes kann der Endbenutzer in diesem Szenario tun:
Überprüfen Sie, ob der Domainname der Website, auf die zugegriffen wird, richtig geschrieben ist.
Stellen Sie sicher, dass die Website das HTTPS-Protokoll verwendet und der Browser keine Sicherheitswarnungen anzeigt.
Bevor Sie sensible Vorgänge durchführen (z. B. die Eingabe eines Passworts oder einer mnemonischen Phrase), überprüfen Sie noch einmal die Gültigkeit des Website-Zertifikats.
Installieren Sie Browser-Sicherheitserweiterungen von führenden Sicherheitsunternehmen, die Website-Anomalien erkennen und Warnungen ausgeben, wenn Benutzer eine sehr hohe Anzahl von Genehmigungen oder Übertragungen auf äußerst riskante Wallets vornehmen.
Folgendes kann der Projektentwickler in diesem Szenario tun:
Entscheiden Sie sich für zuverlässige und seriöse Domain-Anbieter und stellen Sie ein Team zusammen, das sich der Überwachung und schnellen Behebung von Domain-bezogenen Anomaliewarnungen widmet.
Implementieren Sie automatisierte Überwachungssysteme, um Anomalien oder bösartige Skripte und Elemente auf den Ergebnisseiten der DNS-Auflösung der Domain schnell zu erkennen.
Es ist wichtig, potenzielle Schwachstellen in der DNS-Verwaltung zu verstehen und zu beheben. Durch die Umsetzung der empfohlenen Maßnahmen können sich Benutzer und Projektteams besser vor DNS-bezogenen Sicherheitslücken schützen.
Schützen Sie Ihre Server
Leider stellen DNS-Angriffe in einem aufstrebenden Sektor wie der Kryptoindustrie eine sehr reale Bedrohung dar und kommen immer häufiger vor. Der Schaden, den sie anrichten können, kann verheerend sein und die Gelder der Nutzer gefährden.
Letztes Jahr erlitt Curve Finance einen DNS-Angriff, der dazu führte, dass über 570.000 US-Dollar an ETH aus den Geldbörsen der Benutzer gestohlen wurden. Glücklicherweise konnte das Ermittlungsteam von Binance dabei helfen, den Großteil der gestohlenen Gelder zurückzugewinnen. Zuletzt wurden im September bzw. Oktober groß angelegte DNS-Angriffe auf die Protokolle Balancer und Galxe gestartet.
Damit sich das Krypto-Universum nachhaltig entwickeln kann, muss unser Sektor dem Aufbau eines sicheren Ökosystems Priorität einräumen. Wir hoffen, dass Projektentwickler und Benutzer aus diesem Artikel lernen und verstehen können, warum es so wichtig ist, sich vor DNS-Angriffen zu schützen. Gemeinsam können wir ein sichereres Ökosystem aufbauen, um die Zukunft der Kryptos zu sichern.
Weitere Informationen
Die häufigsten Krypto-Betrügereien im Jahr 2023 und wie man sie vermeidet
Der vollständige Leitfaden zu den häufigsten Krypto-Betrügereien
Sichern Sie Ihr Binance-Konto in sieben einfachen Schritten
