TLDR
Diversi protocolli DeFi, tra cui Compound Finance e Celer Network, sono stati presi di mira in un attacco di dirottamento DNS.
Sembra che l'attacco abbia preso di mira i domini registrati tramite Squarespace.
Oltre 220 front-end del protocollo DeFi potrebbero essere ancora a rischio.
Si ritiene che gli aggressori utilizzino il kit portafoglio Inferno Drainer per rubare fondi.
Sono state suggerite alcune misure di sicurezza, come la richiesta delle firme del portafoglio per gli aggiornamenti DNS, per prevenire attacchi futuri.
L’11 luglio 2024, diversi protocolli di finanza decentralizzata (DeFi) sono stati colpiti da un attacco di dirottamento DNS. L'incidente ha colpito i principali attori del settore cripto, tra cui Compound Finance e Celer Network.
Gli esperti di sicurezza ritengono che l'attacco stia prendendo di mira i domini registrati tramite Squarespace, un popolare costruttore di siti Web e piattaforma di hosting.
L'attacco è stato notato per la prima volta quando gli utenti hanno segnalato che il sito web di Compound Finance (compound.finance) reindirizzava a una pagina dannosa.
Questa pagina falsa conteneva un'app "drenante" progettata per rubare i token di criptovaluta degli utenti. Poco dopo, anche Celer Network ha annunciato di essere stato preso di mira, ma il suo sistema di monitoraggio del dominio ha intercettato l'attacco prima che potesse avere successo.
La società di sicurezza blockchain Blockaid ha monitorato attentamente la situazione. Secondo Ido Ben-Natan, cofondatore e CEO di Blockaid, gli aggressori hanno preso di mira i record DNS ospitati su Squarespace. Questi record sono stati reindirizzati a indirizzi IP noti per attività dannose.
Situazione in via di sviluppo: diversi front-end DeFi sono a rischio di dirottamento, con alcuni incidenti già in atto, con progetti come @compoundfinance e @CelerNetwork che sono stati violati nelle ultime 24 ore.
Aggiorneremo questo thread con i dettagli man mano che procediamo. pic.twitter.com/iWQR0ByIgB
– Blockaid (@blockaid_) 11 luglio 2024
Ben-Natan ha affermato che, sebbene non sia ancora nota l'intera portata del dirottamento, circa 228 front-end del protocollo DeFi potrebbero essere ancora a rischio.
Si ritiene che l'attacco sia opera di un gruppo noto come Inferno Drainer. Questo gruppo è attivo da tempo, prendendo di mira vari protocolli DeFi e sfruttando diverse vulnerabilità.
Il loro kit di portafoglio consente ai criminali informatici di indurre gli utenti a firmare transazioni dannose, dando agli aggressori il controllo sulle proprie risorse digitali.
I ricercatori di sicurezza hanno identificato l’infrastruttura condivisa utilizzata dal gruppo Inferno Drainer, rendendo più semplice tracciare e identificare gli attacchi correlati.
Blockaid ha lavorato a stretto contatto con la comunità cripto per mantenere un canale aperto per segnalare siti compromessi.
L’incidente ha scatenato discussioni sul miglioramento delle misure di sicurezza per i protocolli DeFi. Matthew Gould, fondatore del provider di domini Web3 Unstoppable Domains, ha suggerito di creare record on-chain verificati per i domini. Ciò aggiungerebbe un ulteriore livello di protezione da controllare ai browser e ad altri sistemi, contribuendo a ridurre il rischio di attacchi DNS.
Gould ha anche proposto una nuova funzionalità in cui gli aggiornamenti DNS richiederebbero una firma dal portafoglio dell’utente. Ciò renderebbe le cose molto più difficili per gli hacker, poiché dovrebbero compromettere separatamente sia il registrar che il portafoglio dell’utente.
In risposta all’attacco, diversi progetti e piattaforme crittografiche sono intervenuti. MetaMask, un popolare portafoglio Web3, ha annunciato che sta lavorando per avvisare gli utenti delle app potenzialmente compromesse associate all'attacco.
Gli utenti che tentano di effettuare transazioni su qualsiasi sito noto coinvolto nell'attacco corrente vedranno un avviso fornito da Blockaid.
Per quelli di voi che utilizzano MetaMask, vedrete un avviso fornito da @blockaid_ se tentate di effettuare transazioni su qualsiasi sito noto coinvolto in questo attacco attuale.#mmsecurityhttps://t.co/Fk0sAjaeit
— MetaMaschera ???????? (@MetaMask) 11 luglio 2024
La comunità crittografica si è mobilitata per diffondere consapevolezza e ridurre al minimo i potenziali danni. Lo sviluppatore di DefiLlama 0xngmi ha condiviso un elenco di oltre 100 protocolli DeFi che potrebbero essere interessati dall'attacco, inclusi nomi noti come Pendle Finance, dYdX, Polymarket e LooksRare.
Il post L'attacco di dirottamento DNS prende di mira più protocolli DeFi è apparso per la prima volta su Blockonomi.