TLDR

  • Несколько протоколов DeFi, включая Compound Finance и Celer Network, подверглись атаке перехвата DNS.

  • Судя по всему, атака нацелена на домены, зарегистрированные через Squarespace.

  • Более 220 интерфейсов протокола DeFi все еще могут находиться под угрозой.

  • Предполагается, что злоумышленники использовали комплект кошелька Inferno Drainer для кражи средств.

  • Для предотвращения будущих атак были предложены некоторые меры безопасности, такие как требование подписи кошелька для обновлений DNS.

11 июля 2024 года несколько протоколов децентрализованного финансирования (DeFi) подверглись атаке перехвата DNS. Инцидент затронул крупных игроков криптопространства, включая Compound Finance и Celer Network.

Эксперты по безопасности полагают, что атака нацелена на домены, зарегистрированные через Squarespace — популярный конструктор сайтов и платформу хостинга.

Впервые атака была замечена, когда пользователи сообщили, что сайт Compound Finance (compound.finance) перенаправляет на вредоносную страницу.

Эта фейковая страница содержала приложение «drainer», предназначенное для кражи криптовалютных токенов пользователей. Вскоре после этого Celer Network объявила, что она также подверглась атаке, но ее система мониторинга доменов отследила атаку до того, как она смогла добиться успеха.

Компания Blockchain Security Blockaid внимательно следит за ситуацией. По словам Идо Бен-Натана, соучредителя и генерального директора Blockaid, целью злоумышленников были записи DNS, размещенные на Squarespace. Эти записи были перенаправлены на IP-адреса, известные своей вредоносной деятельностью.

⚠Развитие ситуации – несколько интерфейсов DeFi находятся под угрозой взлома, и несколько инцидентов уже произошли: за последние 24 часа были взломаны такие проекты, как @compoundfinance и @CelerNetwork.

Мы будем обновлять эту ветку подробностями по мере поступления. pic.twitter.com/iWQR0ByIgB

— Blockaid (@blockaid_) 11 июля 2024 г.

Бен-Натан заявил, что, хотя точные масштабы взлома пока не известны, около 228 интерфейсов протокола DeFi все еще могут оказаться под угрозой.

Предполагается, что атака является работой группы, известной как Inferno Drainer. Эта группа действует уже некоторое время, нацеливаясь на различные протоколы DeFi и эксплуатируя различные уязвимости.

Их набор кошельков позволяет киберпреступникам обманом заставлять пользователей подписывать вредоносные транзакции, предоставляя злоумышленникам контроль над их цифровыми активами.

Исследователи безопасности выявили общую инфраструктуру, используемую группировкой Inferno Drainer, что упрощает отслеживание и выявление связанных атак.

Blockaid тесно сотрудничает с криптосообществом, чтобы поддерживать открытый канал для сообщений о взломанных сайтах.

Инцидент вызвал дискуссии об улучшении мер безопасности для протоколов DeFi. Мэтью Гулд, основатель провайдера доменов Web3 Unstoppable Domains, предложил создать проверенные записи в цепочке для доменов. Это добавило бы дополнительный уровень защиты для браузеров и других систем для проверки, помогая снизить риск атак DNS.

Гулд также предложил новую функцию, в которой обновления DNS будут требовать подпись из кошелька пользователя. Это значительно усложнит задачу хакерам, поскольку им придется скомпрометировать как регистратора, так и кошелек пользователя по отдельности.

В ответ на атаку несколько криптопроектов и платформ предприняли действия. MetaMask, популярный кошелек Web3, объявил, что работает над предупреждением пользователей о потенциально скомпрометированных приложениях, связанных с атакой.

Пользователи, пытающиеся совершить транзакцию на любом известном сайте, вовлеченном в текущую атаку, увидят предупреждение от Blockaid.

Для тех из вас, кто использует MetaMask: вы увидите предупреждение от @blockaid_, если попытаетесь совершить транзакцию на любом известном сайте, который участвует в этой текущей атаке.#mmsecurityhttps://t.co/Fk0sAjaeit

— MetaMask ?????????? (@MetaMask) 11 июля 2024 г.

Криптосообщество объединилось, чтобы распространить информацию и минимизировать потенциальный ущерб. Разработчик DefiLlama 0xngmi поделился списком из более чем 100 протоколов DeFi, которые могут быть затронуты атакой, включая такие известные имена, как Pendle Finance, dYdX, Polymarket и LooksRare.

Публикация Атака с использованием DNS-перехвата нацелена на несколько протоколов DeFi впервые появилась на Blockonomi.