Poin-poin penting
Pada hari Rabu, 1 November, domain Frax Finance dibajak setelah serangan DNS. Untungnya, belum ada laporan hilangnya dana pengguna.
Serangan Sistem Nama Domain (DNS) diluncurkan oleh aktor jahat yang berupaya mengambil alih domain dan mengarahkan pengguna Internet yang mencoba mengunjungi situs web sah ke situs jahat yang berada di bawah kendali mereka.
Serangan DNS menjadi semakin sering dan mengkhawatirkan di dunia mata uang kripto, dan dalam setahun terakhir terjadi peningkatan insiden semacam ini.
Pada tanggal 1 November, domain platform pinjaman cryptocurrency Frax Finance dibajak oleh penyerang yang mencoba mengambil alih dan mengarahkan lalu lintas mereka ke domain berbahaya. Untungnya, tim proyek dengan cepat mendapatkan kembali kendali atas area ini, dan dana pengguna tidak terancam.
Serangan serupa, yang disebut “serangan DNS,” menjadi semakin umum dan mengkhawatirkan di dunia mata uang kripto. Mengingat keberadaan sektor ini yang sepenuhnya digital dan aliran modal yang beredar di dalamnya, peretas yang berhasil mengeksploitasi kerentanan keamanan bisa mendapatkan keuntungan besar. Untuk memastikan keamanan dana, sangat penting untuk memberi tahu pengguna dan pengembang proyek tentang taktik penipuan terbaru dan langkah-langkah pengendalian risiko.
Artikel ini menyajikan peretasan yang baru-baru ini dialami oleh Frax Finance serta pelajaran yang dapat dipetik dari kejadian ini, dan merinci serangan DNS serta menjelaskan cara mengantisipasinya.
Apa itu server DNS?
Pertama mari kita lihat cara kerja server DNS. Ini adalah salah satu alat utama bagi orang untuk menjelajah Internet dengan mudah. Server DNS menerjemahkan nama domain menjadi alamat Protokol Internet (IP) numerik yang mewakili lokasinya di Internet.
Segera setelah pengguna memasukkan nama domain, seperti “www.binance.com,” perangkat mereka mengirimkan kueri ke server DNS untuk meminta alamat IP. Biasanya, permintaan ini melewati beberapa server DNS hingga mencapai alamat yang sesuai.
Bayangkan Internet sebagai sistem jalan raya raksasa yang sangat kompleks, dimana setiap jalan mengarah ke situs web terpisah. Di jalan-jalan ini, server DNS bertindak sebagai polisi lalu lintas, mengarahkan mobil ke arah yang benar. Menjelajah Internet tanpa server DNS akan seperti mengemudi di negara asing tanpa peta, GPS, atau rambu jalan: tidak mungkin untuk tidak tersesat di sepanjang jalan.
Serangan DNS
Server DNS dibangun berdasarkan kepercayaan. Kami mempercayai sistem untuk membawa kami ke situs web yang tepat. Yakin bahwa kami berada di situs yang dilindungi, kami memasukkan informasi sensitif, termasuk kredensial login kami, informasi pribadi kami, dan bahkan detail perbankan kami. Apa yang akan terjadi jika salah satu server ini disusupi oleh seseorang yang berniat jahat?
Serangan DNS terjadi ketika aktor jahat mencoba membajak Anda dari situs web sah yang ingin Anda akses dan mengarahkan Anda ke situs palsu yang mereka kendalikan. Menggunakan metafora jalan raya di atas, ini seperti seseorang mengubah rambu jalan untuk membawa Anda ke rumah pencuri, bukannya membawa Anda pulang.
Serangan DNS dapat terjadi dengan berbagai cara dan menggunakan berbagai metode dan teknik, biasanya untuk mengganggu layanan atau mencuri informasi sensitif. Dua teknik serangan DNS yang paling umum adalah peracunan cache dan pembajakan domain. Dalam keracunan cache, penyerang mengirimkan informasi palsu ke server DNS dalam upaya mengalihkan lalu lintas dari situs web sah ke situs jahat yang mereka kendalikan. Dalam kasus pembajakan domain, penjahat mengambil kendali atas domain itu sendiri tanpa izin dari pemilik sahnya.
Kasus Frax Finance
Sebagai bagian dari serangan baru-baru ini terhadap Frax Finance, peretas berusaha mengambil alih domain “frax.com” dan “frax.finance”. Ketika mengetahui serangan tersebut, tim proyek segera memberi tahu komunitasnya di X (sebelumnya Twitter) dan menyarankan pengguna Internet untuk tidak mengakses domain yang disusupi.
Dia juga menghubungi penyedia DNS-nya (Name.com) yang dengan cepat mendapatkan kembali kendali atas domain tersebut dan mengalihkan rutenya ke server nama dan konfigurasi yang benar. Meskipun penyelidikan terhadap akar penyebab insiden tersebut masih berlangsung, tidak ada laporan hilangnya dana pengguna.
Ketidakcocokan sertifikat SSL
Sertifikat Secure Sockets Layer (SSL) adalah paspor digital situs web dan merupakan alat keamanan siber yang penting. Sama seperti paspor yang mengonfirmasi identitas Anda saat bepergian, sertifikat SSL mengonfirmasi identitas situs web di komputer Anda. Sertifikat SSL juga memastikan bahwa informasi yang dipertukarkan antara komputer dan situs web dienkripsi sehingga tidak dapat dibaca oleh orang lain, sebuah fitur yang sangat penting untuk informasi sensitif seperti kredensial login.
Server DNS yang disusupi mencoba mengalihkan pengguna ke situs web lain, mengakibatkan ketidakcocokan sertifikat SSL yang secara efektif memperingatkan pengguna tentang masalah pada situs tersebut. Ini sebuah contoh.
Sebuah contoh konkrit
Misalkan ada domain asli bernama "binancedefiapp.com", yang dihosting di server dengan alamat IP 192.168.0.1. Server DNS ini telah disusupi: aktor jahat mengubah data DNS sehingga "binancedefiapp.com" sekarang dihosting di alamat IP 192.168.2.2, tempat penyerang mengunggah versi berbahaya mereka sendiri dari situs Web Asli. Namun, ia memerlukan sertifikat SSL untuk memberikan ilusi bahwa situs webnya aman.
Jika koneksi ke situs web tidak aman dan mengembalikan alamat Hypertext Transfer Protocol (HTTP) dan bukan alamat Hypertext Transfer Protocol Secure (HTTPS), biasanya ditunjukkan dengan gembok hijau di bilah alamat browser (atau ikon serupa), hal ini akan menyebabkan masalah. kecurigaan pengunjung situs.
Penyerang tidak dapat memperoleh sertifikat SSL untuk domain “binancedefiapp.com” karena hanya satu server DNS yang disusupi. Untuk menghasilkan sertifikat yang valid untuk domain tertentu, ia harus membuktikan kepada penerbit pihak ketiga bahwa ia adalah pemilik domain tersebut: tetapi hal ini tidak mungkin baginya, karena peretas hanya memiliki satu server DNS. Dalam hal ini, sertifikat apa pun yang ada tidak akan sesuai dengan nama host, karena penyerang harus menyimpan sertifikat yang dikeluarkan untuk domain lain. Ketika pengguna Internet mengakses situs web tersebut, browser mereka dapat mengenali apakah sertifikat dikeluarkan untuk domain yang sedang dilihat atau tidak. Jika mendeteksi ketidakcocokan, ini akan menghasilkan kesalahan berikut:
Jika muncul pesan ini, sebaiknya jangan lanjutkan ke website yang dimaksud.
Server DNS internal dan eksternal
Ada beberapa server DNS di Internet; oleh karena itu tidak mungkin meracuni semuanya. Server DNS internal, misalnya, yang beroperasi dalam lingkungan internal tertutup (jaringan perusahaan atau server DNS khusus) merupakan target yang lebih mudah dibandingkan server DNS publik, seperti penyelesai terbuka Google.
Bahkan jika server DNS Google juga berisiko mengalami keracunan, kemungkinan terjadinya hal ini masih relatif rendah, dan jika server DNS tersebut masih terkena dampaknya, dapat dipastikan bahwa tim akan bereaksi dan memperingatkan pengguna Internet dengan sangat cepat. Sebaliknya, server DNS yang berdiri sendiri atau khusus seringkali kurang diawasi dan kurang aman. Biasanya disarankan untuk menyelesaikan alamat IP menggunakan penyelesai publik Google atau penyedia publik tepercaya lainnya.
Bagaimana cara melindungi diri Anda dari serangan DNS?
Risiko keamanan DNS umumnya terbagi dalam dua kategori besar: infeksi perangkat pengguna akhir dan peretasan server DNS. Nasihat untuk menghindari menjadi korban berbeda-beda tergantung pada kasus yang satu atau yang lain.
Jika perangkat pengguna akhir disusupi:
Perangkat pengguna akhir dikendalikan atau terinfeksi oleh penyerang, yang meracuni cache DNS atau membajak domain. Inilah yang dapat dilakukan pengguna akhir dalam skenario ini:
Jangan mengklik tautan yang mencurigakan atau memasang perangkat lunak atau plugin browser dari sumber yang tidak dikenal.
Jangan gunakan jaringan Wi-Fi publik dengan kredensial keamanan yang tidak pasti.
Hapus cache DNS secara teratur.
Jalankan pemindaian rutin untuk mendeteksi keberadaan malware di perangkat.
Sayangnya, sebagian besar masalah muncul di pelanggan atau pengguna akhir, dan pengembang proyek tidak memiliki cara untuk menghilangkan bahaya ini secara permanen. Tim proyek sangat jarang menyadari infeksi DNS kliennya, dan selain menyiapkan saluran pengaduan berikutnya untuk klien, tim hanya dapat secara proaktif memberi tahu pengguna tentang ancaman ini.
Jika server DNS disusupi:
Seorang peretas mengeksploitasi kerentanan keamanan atau menggunakan taktik rekayasa sosial untuk mengambil kendali server DNS, yang sering kali mengakibatkan perubahan pada data DNS. Inilah yang dapat dilakukan pengguna akhir dalam skenario ini:
Periksa apakah nama domain situs web yang diakses dieja dengan benar.
Pastikan situs menggunakan protokol HTTPS dan browser tidak menampilkan peringatan keamanan apa pun.
Sebelum melakukan operasi sensitif (misalnya, memasukkan kata sandi atau frasa mnemonik), periksa kembali validitas sertifikat situs web.
Instal ekstensi keamanan browser dari perusahaan keamanan terkemuka yang mendeteksi anomali situs web dan memberikan peringatan ketika pengguna melakukan banyak persetujuan atau transfer ke dompet yang sangat berisiko.
Inilah yang dapat dilakukan pengembang proyek dalam skenario ini:
Pilihlah penyedia domain yang andal dan bereputasi baik, dan buat tim yang berdedikasi untuk memantau dan menyelesaikan peringatan anomali terkait domain dengan cepat.
Menerapkan sistem pemantauan otomatis untuk mendeteksi dengan cepat anomali atau skrip dan elemen berbahaya di halaman hasil resolusi DNS domain.
Penting untuk memahami dan memperbaiki potensi kerentanan dalam manajemen DNS. Dengan menerapkan langkah-langkah yang direkomendasikan, pengguna dan tim proyek dapat melindungi diri mereka sendiri dengan lebih baik dari kelemahan keamanan terkait DNS.
Lindungi server Anda
Sayangnya serangan DNS merupakan ancaman yang sangat nyata di sektor baru seperti kripto, dan kini menjadi semakin sering terjadi. Kerusakan yang dapat ditimbulkannya bisa sangat parah dan membahayakan dana pengguna.
Tahun lalu, Curve Finance mengalami serangan DNS yang mengakibatkan lebih dari $570,000 ETH dicuri dari dompet pengguna. Untungnya, tim investigasi Binance dapat membantu memulihkan sebagian besar dana yang dicuri. Baru-baru ini, serangan DNS skala besar diluncurkan pada protokol Balancer dan Galxe masing-masing pada bulan September dan Oktober.
Agar dunia kripto dapat berkembang secara berkelanjutan, sektor kita harus memprioritaskan pembangunan ekosistem yang aman. Kami berharap pengembang dan pengguna proyek dapat belajar dari artikel ini dan memahami mengapa sangat penting untuk waspada terhadap serangan DNS. Bersama-sama kita dapat membangun ekosistem yang lebih aman untuk menjamin masa depan kripto.
Untuk informasi lebih lanjut
Penipuan Kripto Paling Umum di Tahun 2023 dan Cara Menghindarinya
Panduan Lengkap Penipuan Kripto Paling Umum
Amankan Akun Binance Anda dalam Tujuh Langkah Mudah
