TLDR
Plusieurs protocoles DeFi, notamment Compound Finance et Celer Network, ont été ciblés par une attaque de piratage DNS.
L'attaque semble cibler les domaines enregistrés via Squarespace.
Plus de 220 frontaux du protocole DeFi peuvent encore être menacés.
Les attaquants utiliseraient le kit de portefeuille Inferno Drainer pour voler des fonds.
Certaines mesures de sécurité, comme exiger des signatures de portefeuille pour les mises à jour DNS, ont été suggérées pour prévenir de futures attaques.
Le 11 juillet 2024, plusieurs protocoles de finance décentralisée (DeFi) ont été touchés par une attaque de détournement de DNS. L’incident a touché des acteurs majeurs de l’espace crypto, notamment Compound Finance et Celer Network.
Les experts en sécurité pensent que l'attaque cible les domaines enregistrés via Squarespace, un créateur de sites Web et une plateforme d'hébergement populaire.
L’attaque a été remarquée pour la première fois lorsque les utilisateurs ont signalé que le site Web de Compound Finance (compound.finance) redirigeait vers une page malveillante.
Cette fausse page contenait une application « draineuse » conçue pour voler les jetons de crypto-monnaie des utilisateurs. Peu de temps après, Celer Network a annoncé qu'il avait également été ciblé, mais son système de surveillance de domaine a détecté l'attaque avant qu'elle ne réussisse.
La société de sécurité Blockchain Blockaid surveille de près la situation. Selon Ido Ben-Natan, co-fondateur et PDG de Blockaid, les attaquants ont ciblé les enregistrements DNS hébergés sur Squarespace. Ces enregistrements ont été redirigés vers des adresses IP connues pour leurs activités malveillantes.
Situation en développement – Plusieurs frontaux DeFi risquent d'être détournés, avec quelques incidents déjà en cours, avec des projets comme @compoundfinance et @CelerNetwork ayant été piratés au cours des dernières 24 heures.
Nous mettrons à jour ce fil avec des détails au fur et à mesure. pic.twitter.com/iWQR0ByIgB
– Blockaid (@blockaid_) 11 juillet 2024
Ben-Natan a déclaré que même si l'ampleur du détournement n'est pas encore connue, environ 228 frontaux du protocole DeFi pourraient encore être menacés.
L'attaque serait l'œuvre d'un groupe connu sous le nom d'Inferno Drainer. Ce groupe est actif depuis un certain temps, ciblant divers protocoles DeFi et exploitant différentes vulnérabilités.
Leur kit de portefeuille permet aux cybercriminels de tromper les utilisateurs pour qu'ils signent des transactions malveillantes, donnant ainsi aux attaquants le contrôle de leurs actifs numériques.
Les chercheurs en sécurité ont identifié l'infrastructure partagée utilisée par le groupe Inferno Drainer, facilitant le suivi et l'identification des attaques associées.
Blockaid a travaillé en étroite collaboration avec la communauté crypto pour maintenir un canal ouvert pour signaler les sites compromis.
L'incident a déclenché des discussions sur l'amélioration des mesures de sécurité pour les protocoles DeFi. Matthew Gould, fondateur du fournisseur de domaines Web3 Unstoppable Domains, a suggéré de créer des enregistrements en chaîne vérifiés pour les domaines. Cela ajouterait une couche de protection supplémentaire que les navigateurs et autres systèmes devraient vérifier, contribuant ainsi à réduire le risque d'attaques DNS.
Gould a également proposé une nouvelle fonctionnalité selon laquelle les mises à jour DNS nécessiteraient une signature du portefeuille de l'utilisateur. Cela rendrait la tâche beaucoup plus difficile pour les pirates informatiques, car ils devraient compromettre séparément le bureau d’enregistrement et le portefeuille de l’utilisateur.
En réponse à l’attaque, plusieurs projets et plateformes de cryptographie ont pris des mesures. MetaMask, un portefeuille Web3 populaire, a annoncé qu'il s'efforçait d'avertir les utilisateurs des applications potentiellement compromises associées à l'attaque.
Les utilisateurs tentant d'effectuer des transactions sur n'importe quel site connu impliqué dans l'attaque actuelle verront un avertissement fourni par Blockaid.
Pour ceux d'entre vous qui utilisent MetaMask, vous verrez un avertissement fourni par @blockaid_ si vous tentez d'effectuer des transactions sur un site connu impliqué dans cette attaque actuelle.#mmsecurityhttps://t.co/Fk0sAjaeit
— MétaMask ???????? (@MetaMask) 11 juillet 2024
La communauté crypto s’est mobilisée pour sensibiliser l’opinion et minimiser les dommages potentiels. Le développeur de DefiLlama, 0xngmi, a partagé une liste de plus de 100 protocoles DeFi susceptibles d'être affectés par l'attaque, y compris des noms bien connus comme Pendle Finance, dYdX, Polymarket et LooksRare.
L'attaque de piratage DNS ciblant plusieurs protocoles DeFi apparaît en premier sur Blockonomi.