DNSハイジャック攻撃は複数のDeFiプロトコルを標的に

TLDR

• Compound FinanceやCeler Networkを含む複数のDeFiプロトコルがDNSハイジャック攻撃の標的となった。

• この攻撃は Squarespace を通じて登録されたドメインを標的にしているようです。

• 220 を超える DeFi プロトコルのフロントエンドが依然として危険にさらされている可能性があります。

• 攻撃者は資金を盗むためにInferno Drainerウォレットキットを使用していると考えられています。

• 将来の攻撃を防ぐために、DNS 更新にウォレット署名を要求するなどのセキュリティ対策が提案されています。

2024年7月11日、複数の分散型金融（DeFi）プロトコルがDNSハイジャック攻撃を受けました。この事件は、Compound FinanceやCeler Networkなど、暗号通貨業界の主要企業に影響を与えました。

セキュリティ専門家は、この攻撃は人気のウェブサイトビルダー兼ホスティングプラットフォームであるSquarespaceを通じて登録されたドメインを標的にしていると考えている。

この攻撃が最初に確認されたのは、Compound Finance の Web サイト (compound.finance) が悪意のあるページにリダイレクトされているというユーザーの報告があったときでした。

この偽ページには、ユーザーの暗号通貨トークンを盗むために設計された「ドレイナー」アプリが含まれていました。その後すぐに、Celer Network も標的になったと発表しましたが、ドメイン監視システムが攻撃が成功する前にそれを検出しました。

ブロックチェーンセキュリティ企業Blockaidは状況を注意深く監視している。Blockaidの共同設立者兼CEOのIdo Ben-Natan氏によると、攻撃者はSquarespaceでホストされているDNSレコードを標的にしていた。これらのレコードは悪意のある活動で知られるIPアドレスにリダイレクトされた。

状況の進展 – 複数の DeFi フロントエンドがハイジャックの危険にさらされており、すでにいくつかの事件が発生しており、@compoundfinance や @CelerNetwork などのプロジェクトが過去 24 時間以内にハッキングされました。

詳細は随時このスレッドを更新していきます。pic.twitter.com/iWQR0ByIgB

— ブロックエイド (@blockaid_) 2024年7月11日

ベン・ナタン氏は、ハイジャックの全容はまだ不明だが、約228のDeFiプロトコルのフロントエンドが依然として危険にさらされている可能性があると述べた。

この攻撃は、Inferno Drainer として知られるグループによるものだと考えられています。このグループはしばらく前から活動しており、さまざまな DeFi プロトコルを標的にし、さまざまな脆弱性を悪用してきました。

彼らのウォレットキットにより、サイバー犯罪者はユーザーを騙して悪意のあるトランザクションに署名させ、攻撃者がデジタル資産を制御できるようになります。

セキュリティ研究者は、Inferno Drainer グループが使用する共有インフラストラクチャを特定し、関連する攻撃の追跡と特定を容易にしました。

Blockaid は、侵害されたサイトを報告するためのオープンなチャネルを維持するために、暗号通貨コミュニティと緊密に協力してきました。

この事件は、DeFiプロトコルのセキュリティ対策の改善に関する議論を引き起こした。Web3ドメインプロバイダーのUnstoppable Domainsの創設者であるMatthew Gould氏は、ドメインの検証済みオンチェーンレコードを作成することを提案した。これにより、ブラウザやその他のシステムがチェックする追加の保護層が追加され、DNS攻撃のリスクを軽減するのに役立ちます。

グールド氏はまた、DNS 更新にユーザーのウォレットからの署名が必要となる新機能も提案した。これにより、ハッカーはレジストラとユーザーのウォレットの両方を別々に侵害する必要があるため、ハッキングがはるかに困難になる。

この攻撃を受けて、いくつかの暗号プロジェクトやプラットフォームが対策を講じた。人気のWeb3ウォレットであるMetaMaskは、攻撃に関連して侵害を受ける可能性のあるアプリについてユーザーに警告する取り組みを進めていると発表した。

現在の攻撃に関与している既知のサイトで取引を行おうとするユーザーには、Blockaid から提供される警告が表示されます。

MetaMask をお使いの方は、今回の攻撃に関与している既知のサイトで取引しようとすると、@blockaid_ から提供される警告が表示されます#mmsecurityhttps://t.co/Fk0sAjaeit

— MetaMask ???????? (@MetaMask) 2024年7月11日

暗号通貨コミュニティは、認識を広め、潜在的な被害を最小限に抑えるために結集した。DefiLlama開発者の0xngmiは、Pendle Finance、dYdX、Polymarket、LooksRareなどのよく知られた名前を含む、攻撃の影響を受ける可能性のある100以上のDeFiプロトコルのリストを共有した。

DNSハイジャック攻撃が複数のDeFiプロトコルを標的にしているという記事が最初にBlockonomiに掲載されました。