TLDR
DNS nolaupīšanas uzbrukumā tika vērsti vairāki DeFi protokoli, tostarp Compound Finance un Celer Network.
Šķiet, ka uzbrukums ir vērsts uz domēniem, kas reģistrēti, izmantojot Squarespace.
Vairāk nekā 220 DeFi protokola priekšējās daļas joprojām var būt apdraudētas.
Tiek uzskatīts, ka uzbrucēji izmanto Inferno Drainer maka komplektu, lai nozagtu līdzekļus.
Lai novērstu turpmākus uzbrukumus, ir ieteikti daži drošības pasākumi, piemēram, maka parakstu pieprasīšana DNS atjauninājumiem.
2024. gada 11. jūlijā vairākus decentralizēto finanšu (DeFi) protokolus skāra DNS nolaupīšanas uzbrukums. Incidents skāra galvenos kriptovalūtas tirgus dalībniekus, tostarp Compound Finance un Celer Network.
Drošības eksperti uzskata, ka uzbrukums mērķē uz domēniem, kas reģistrēti caur Squarespace, populāru tīmekļa vietņu veidotāju un mitināšanas platformu.
Uzbrukums pirmo reizi tika pamanīts, kad lietotāji ziņoja, ka Compound Finance tīmekļa vietne (compound.finance) tiek pāradresēta uz ļaunprātīgu lapu.
Šī viltus lapa saturēja “drainer” lietotni, kas bija paredzēta, lai zagtu lietotāju kriptovalūtu žetonus. Drīz pēc tam Celer Network paziņoja, ka arī tas ir bijis mērķis, taču tā domēnu uzraudzības sistēma pamanīja uzbrukumu pirms tā varēja gūt panākumus.
Blokķēdes drošības firma Blockaid ir cieši uzraudzījusi situāciju. Saskaņā ar Ido Ben-Natan, Blockaid līdzdibinātāja un izpilddirektora teikto, uzbrucēji mērķēja uz DNS ierakstiem, kas tiek mitināti Squarespace. Šie ieraksti tika pāradresēti uz IP adresēm, kas ir pazīstamas ar ļaunprātīgām aktivitātēm.
Izstrādājoša situācija – vairāki DeFi priekšējie punkti ir pakļauti pārtveršanai, un jau ir notikuši daži incidenti, piemēram, projekti kā @compoundfinance un @CelerNetwork tika uzlauzti pēdējo 24 stundu laikā.
Mēs atjaunosim šo pavedienu ar detalizētu informāciju, kad dosimies tālāk. pic.twitter.com/iWQR0ByIgB
— Blockaid (@blockaid_) 2024. gada 11. jūlijā
Ben-Natan paziņoja, ka, lai gan pilnīgais pārtveršanas apmērs vēl nav zināms, aptuveni 228 DeFi protokolu priekšējie punkti joprojām varētu būt apdraudēti.
Uzbrukums tiek uzskatīts par grupas, kas pazīstama kā Inferno Drainer, darbu. Šī grupa ir aktīva jau kādu laiku, mērķējot uz dažādiem DeFi protokoliem un izmantojot dažādas ievainojamības.
Viņu maka komplekts ļauj kibernoziedzniekiem maldināt lietotājus, liekot tiem parakstīt ļaunprātīgas transakcijas, dodot uzbrucējiem kontroli pār viņu digitālajiem aktīviem.
Drošības pētnieki ir identificējuši kopīgu infrastruktūru, ko izmanto Inferno Drainer grupa, padarot vieglāk izsekot un identificēt saistītus uzbrukumus.
Blockaid ir strādājusi ciešā sadarbībā ar kriptovalūtu kopienu, lai uzturētu atklātu kanālu apdraudētu vietņu ziņošanai.
Negadījums ir izraisījis diskusijas par drošības pasākumu uzlabošanu DeFi protokolos. Metjū Gūlds, Web3 domēnu nodrošinātāja Unstoppable Domains dibinātājs, ierosināja izveidot verificētus on-chain ierakstus domēniem. Tas pievienotu papildus aizsardzības slāni pārlūkprogrammas un citiem sistēmu pārbaudēm, palīdzot samazināt DNS uzbrukumu risku.
Gūlds arī ierosināja jaunu funkciju, kur DNS atjauninājumiem būtu nepieciešama lietotāja maka paraksts. Tas padarītu to daudz grūtāk uzbrucējiem, jo viņiem būtu jāpārņem gan reģistrators, gan lietotāja maks atsevišķi.
Reaģējot uz uzbrukumu, vairāki kriptovalūtu projekti un platformas ir veikuši pasākumus. MetaMask, populārs Web3 maks, paziņoja, ka strādā pie tā, lai brīdinātu lietotājus par potenciāli apdraudētām lietotnēm, kas saistītas ar uzbrukumu.
Lietotāji, kas mēģina veikt darījumus jebkurā pazīstamā vietnē, kas ir saistīta ar pašreizējo uzbrukumu, redzēs brīdinājumu, ko sniedz Blockaid.
Ja jūs izmantojat MetaMask, jūs redzēsiet brīdinājumu, ko sniedz @blockaid_, ja jūs mēģināt veikt darījumu jebkurā pazīstamā vietnē, kas ir saistīta ar šo pašreizējo uzbrukumu. #mmsecurity https://t.co/Fk0sAjaeit
— MetaMask ???????? (@MetaMask) 2024. gada 11. jūlijā
Kriptovalūtu kopiena ir apvienojusies, lai izplatītu apziņu un samazinātu potenciālos zaudējumus. DefiLlama izstrādātājs 0xngmi dalījās ar sarakstu, kas satur vairāk nekā 100 DeFi protokolus, kurus varētu ietekmēt uzbrukums, tostarp labi zināmiem nosaukumiem, piemēram, Pendle Finance, dYdX, Polymarket un LooksRare.
Ziņa par DNS Hijacking uzbrukumu mērķē uz vairākiem DeFi protokoliem pirmo reizi tika publicēta Blockonomi.