Ataque de sequestro de DNS tem como alvo vários protocolos DeFi

TLDR

• Vários protocolos DeFi, incluindo Compound Finance e Celer Network, foram alvo de um ataque de sequestro de DNS.

• O ataque parece ter como alvo domínios registrados no Squarespace.

• Mais de 220 front-ends do protocolo DeFi ainda podem estar em risco.

• Acredita-se que os invasores estejam usando o kit de carteira Inferno Drainer para roubar fundos.

• Algumas medidas de segurança, como exigir assinaturas de carteira para atualizações de DNS, foram sugeridas para evitar ataques futuros.

Em 11 de julho de 2024, vários protocolos de finanças descentralizadas (DeFi) foram atingidos por um ataque de sequestro de DNS. O incidente afetou os principais participantes do espaço criptográfico, incluindo Compound Finance e Celer Network.

Especialistas em segurança acreditam que o ataque tem como alvo domínios registrados no Squarespace, um popular construtor de sites e plataforma de hospedagem.

O ataque foi notado pela primeira vez quando os usuários relataram que o site Compound Finance (compound.finance) estava redirecionando para uma página maliciosa.

Esta página falsa continha um aplicativo “drenador” projetado para roubar tokens de criptomoeda dos usuários. Pouco depois, a Celer Network anunciou que também havia sido alvo, mas seu sistema de monitoramento de domínio detectou o ataque antes que ele pudesse ter sucesso.

A empresa de segurança Blockchain Blockaid tem monitorado de perto a situação. De acordo com Ido Ben-Natan, cofundador e CEO da Blockaid, os invasores tiveram como alvo registros DNS hospedados no Squarespace. Esses registros foram redirecionados para endereços IP conhecidos por atividades maliciosas.

Situação em desenvolvimento – Vários front-ends DeFi correm o risco de serem sequestrados, com alguns incidentes já ocorrendo, com projetos como @compoundfinance e @CelerNetwork sendo hackeados nas últimas 24 horas.

Atualizaremos este tópico com detalhes à medida que avançamos. pic.twitter.com/iWQR0ByIgB

– Blockaid (@blockaid_) 11 de julho de 2024

Ben-Natan afirmou que, embora a extensão total do sequestro ainda não seja conhecida, aproximadamente 228 front-ends do protocolo DeFi ainda podem estar em risco.

Acredita-se que o ataque seja obra de um grupo conhecido como Inferno Drainer. Este grupo está ativo há algum tempo, visando vários protocolos DeFi e explorando diversas vulnerabilidades.

Seu kit de carteira permite que os cibercriminosos induzam os usuários a assinar transações maliciosas, dando aos invasores controle sobre seus ativos digitais.

Pesquisadores de segurança identificaram a infraestrutura compartilhada usada pelo grupo Inferno Drainer, facilitando o rastreamento e a identificação de ataques relacionados.

A Blockaid tem trabalhado em estreita colaboração com a comunidade criptográfica para manter um canal aberto para denunciar sites comprometidos.

O incidente gerou discussões sobre como melhorar as medidas de segurança para protocolos DeFi. Matthew Gould, fundador do provedor de domínio Web3 Unstoppable Domains, sugeriu a criação de registros verificados na cadeia para domínios. Isso adicionaria uma camada extra de proteção para navegadores e outros sistemas verificarem, ajudando a reduzir o risco de ataques de DNS.

Gould também propôs um novo recurso em que as atualizações de DNS exigiriam uma assinatura da carteira do usuário. Isso tornaria as coisas muito mais difíceis para os hackers, pois eles precisariam comprometer tanto o registrador quanto a carteira do usuário separadamente.

Em resposta ao ataque, vários projetos e plataformas criptográficas tomaram medidas. MetaMask, uma carteira Web3 popular, anunciou que está trabalhando para alertar os usuários sobre aplicativos potencialmente comprometidos associados ao ataque.

Os usuários que tentarem fazer transações em qualquer site conhecido envolvido no ataque atual verão um aviso fornecido pelo Blockaid.

Para aqueles que usam MetaMask, você verá um aviso fornecido por @blockaid_ se tentar fazer transações em qualquer site conhecido que esteja envolvido neste ataque atual.#mmsecurityhttps://t.co/Fk0sAjaeit

—MetaMask ???????? (@MetaMask) 11 de julho de 2024

A comunidade criptográfica se reuniu para espalhar a conscientização e minimizar danos potenciais. O desenvolvedor do DefiLlama, 0xngmi, compartilhou uma lista de mais de 100 protocolos DeFi que podem ser afetados pelo ataque, incluindo nomes conhecidos como Pendle Finance, dYdX, Polymarket e LooksRare.

O posto Ataque de sequestro de DNS tem como alvo vários protocolos DeFi apareceu pela primeira vez no Blockonomi.