dYdX, un destacado intercambio de cifrado, anunció el 23 de julio que su sitio web versión 3.0 había sido comprometido.
Se ha aconsejado a los usuarios que eviten visitar el sitio de la versión 3.0 o hacer clic en cualquier enlace hasta nuevo aviso. Sin embargo, el equipo aseguró a los usuarios que la versión 4.0 no se ve afectada y funciona con normalidad.
dYdX ha publicado una autopsia detallada sobre el hackeo de la cuenta de Squarespace, que describe los eventos y sus respuestas. El intercambio ha decidido cambiar los registradores de dominio y continúa trabajando con SEAL y otros socios para evitar incidentes futuros.
Sitio web de intercambio dYdX comprometido debido a un ataque de ingeniería social
Según la autopsia, la infracción se produjo después de que personas no autorizadas accedieran a la cuenta de Squarespace de dYdX Trading a través de un ataque de ingeniería social al servicio de atención al cliente de Squarespace.
Durante el secuestro de dos horas del dominio de Exchange, dos usuarios perdieron fondos por un total aproximado de 31.000 dólares. dYdX Trading está en contacto con los usuarios afectados para garantizar que reciban una compensación.
En 2023, Squarespace adquirió todos los dominios de los ya desaparecidos Dominios de Google y los migró durante varios meses. El dominio dydx.exchange, propiedad de dYdX Trading, se trasladó a Squarespace el 15 de junio de 2024.
El 9 de julio, los atacantes obtuvieron acceso al dominio dydx.exchange y modificaron los servidores de nombres DNS de Cloudflare a DDoS-Guard.
Este ataque inicial fue mitigado por la configuración de DNSSEC, que impidió que los usuarios accedieran al sitio comprometido. DYdX resolvió rápidamente el problema mediante rotaciones de contraseña y autenticación de dos factores (2FA).
Tras informes de ataques similares en dominios específicos de criptomonedas, SEAL, un equipo de seguridad centrado en criptomonedas, inició una investigación. Se descubrió que se había explotado una vulnerabilidad de OAuth en Squarespace, que Squarespace abordó y solucionó el 12 de julio.
A pesar de esto, el dominio dydx.exchange volvió a verse comprometido el 23 de julio. Los atacantes lograron cambiar los servidores de nombres DNS y eliminar la configuración de DNSSEC, alojando un sitio malicioso que engañaba a los usuarios para que transfirieran tokens Ethereum y ERC20.
Durante este período, dYdX colaboró con SEAL y otros socios para bloquear sitios maliciosos en carteras criptográficas populares como Metamask y Phantom. A pesar de estos esfuerzos, dos usuarios perdieron 31.000 dólares durante el ataque.
dYdX Exchange recupera el sitio web tras el hackeo de una cuenta de Squarespace
La autopsia reveló además que el atacante había configurado el correo electrónico del administrador del dominio en una dirección que terminaba en outlook.com, con un nombre de usuario similar al nombre legal del administrador de facturación en la cuenta de dYdX. Esto sugería un ataque de ingeniería social, ya que el atacante utilizó una dirección de correo electrónico creíble.
Según dYdX, sus comunicaciones con Squarespace revelaron que un error humano inició la adquisición durante el proceso de recuperación de la cuenta.
El atacante evitó 2FA y modificó el correo electrónico de la cuenta sin proporcionar credenciales de seguridad válidas. El servicio de atención al cliente de Squarespace no intentó ponerse en contacto con ningún otro administrador incluido en el dominio antes de realizar estos cambios.
En respuesta al ataque, dYdX transfirió el registro de su dominio a Cloudflare para mejorar la seguridad. El traslado se aceleró y se completó en seis horas.
dYdX confirmó que no hubo problemas de seguridad con sus contratos inteligentes, sistemas backend o la cadena dYdX como resultado de los incidentes.
El equipo de dYdX declaró la red social X, aconsejando a los usuarios que borraran la memoria caché de su navegador y reiniciaran su navegador antes de volver a conectarse al sitio web para asegurarse de que no estaban accediendo al sitio comprometido.