TLDR

  • Nhiều giao thức DeFi, bao gồm Tài chính phức hợp và Mạng Celer, đã trở thành mục tiêu trong một cuộc tấn công chiếm quyền điều khiển DNS.

  • Cuộc tấn công dường như nhắm vào các miền được đăng ký thông qua Squarespace.

  • Hơn 220 giao diện người dùng giao thức DeFi vẫn có thể gặp rủi ro.

  • Những kẻ tấn công được cho là đang sử dụng bộ ví Inferno Drainer để đánh cắp tiền.

  • Một số biện pháp bảo mật, như yêu cầu chữ ký ví để cập nhật DNS, đã được đề xuất để ngăn chặn các cuộc tấn công trong tương lai.

Vào ngày 11 tháng 7 năm 2024, một số giao thức tài chính phi tập trung (DeFi) đã bị tấn công chiếm quyền điều khiển DNS. Vụ việc đã ảnh hưởng đến những người chơi lớn trong không gian tiền điện tử, bao gồm cả Composite Finance và Celer Network.

Các chuyên gia bảo mật tin rằng cuộc tấn công đang nhắm mục tiêu vào các miền được đăng ký thông qua Squarespace, một nền tảng lưu trữ và xây dựng trang web phổ biến.

Cuộc tấn công lần đầu tiên được chú ý khi người dùng báo cáo rằng trang web Tài chính tổng hợp (complex.finance) đang chuyển hướng đến một trang độc hại.

Trang giả mạo này chứa một ứng dụng “rút tiền” được thiết kế để đánh cắp mã thông báo tiền điện tử của người dùng. Ngay sau đó, Celer Network thông báo rằng họ cũng đã bị nhắm mục tiêu, nhưng hệ thống giám sát tên miền của họ đã phát hiện được cuộc tấn công trước khi kịp thành công.

Công ty bảo mật blockchain Blockaid đã theo dõi chặt chẽ tình hình. Theo Ido Ben-Natan, đồng sáng lập và CEO của Blockaid, những kẻ tấn công đã nhắm mục tiêu vào các bản ghi DNS được lưu trữ trên Squarespace. Những hồ sơ này đã được chuyển hướng đến các địa chỉ IP được biết đến với các hoạt động độc hại.

⚠ Tình hình đang phát triển – Nhiều giao diện người dùng DeFi có nguy cơ bị tấn công, với một số sự cố đã xảy ra, với các dự án như @comoundfinance và @CelerNetwork bị hack trong 24 giờ qua.

Chúng tôi sẽ cập nhật chủ đề này với các chi tiết khi chúng tôi tiếp tục. pic.twitter.com/iWQR0ByIgB

- Bị chặn (@blockaid_) Ngày 11 tháng 7 năm 2024

Ben-Natan tuyên bố rằng mặc dù vẫn chưa xác định được toàn bộ phạm vi của vụ tấn công nhưng khoảng 228 giao diện người dùng giao thức DeFi vẫn có thể gặp rủi ro.

Cuộc tấn công được cho là do một nhóm có tên Inferno Drainer thực hiện. Nhóm này đã hoạt động được một thời gian, nhắm mục tiêu vào nhiều giao thức DeFi khác nhau và khai thác các lỗ hổng khác nhau.

Bộ ví của họ cho phép tội phạm mạng lừa người dùng ký các giao dịch độc hại, giúp kẻ tấn công kiểm soát tài sản kỹ thuật số của họ.

Các nhà nghiên cứu bảo mật đã xác định được cơ sở hạ tầng dùng chung được nhóm Inferno Drainer sử dụng, giúp việc theo dõi và xác định các cuộc tấn công liên quan trở nên dễ dàng hơn.

Blockaid đã hợp tác chặt chẽ với cộng đồng tiền điện tử để duy trì một kênh mở để báo cáo các trang web bị xâm phạm.

Vụ việc đã làm dấy lên các cuộc thảo luận về việc cải thiện các biện pháp bảo mật cho giao thức DeFi. Matthew Gould, người sáng lập nhà cung cấp miền Web3 Unstoppable Domains, đã đề xuất tạo các bản ghi trực tuyến đã được xác minh cho các miền. Điều này sẽ bổ sung thêm một lớp bảo vệ để trình duyệt và các hệ thống khác kiểm tra, giúp giảm nguy cơ bị tấn công DNS.

Gould cũng đề xuất một tính năng mới trong đó các bản cập nhật DNS sẽ yêu cầu chữ ký từ ví của người dùng. Điều này sẽ gây khó khăn hơn nhiều cho tin tặc vì chúng sẽ cần phải xâm phạm riêng cả nhà đăng ký và ví của người dùng.

Để đối phó với cuộc tấn công, một số dự án và nền tảng tiền điện tử đã hành động. MetaMask, một ví Web3 phổ biến, đã thông báo rằng họ đang nỗ lực cảnh báo người dùng về các ứng dụng có khả năng bị xâm phạm liên quan đến cuộc tấn công.

Người dùng cố gắng giao dịch trên bất kỳ trang web nào đã biết có liên quan đến cuộc tấn công hiện tại sẽ thấy cảnh báo do Blockaid đưa ra.

Đối với những người sử dụng MetaMask, bạn sẽ thấy cảnh báo do @blockaid_ đưa ra nếu bạn cố gắng giao dịch trên bất kỳ trang web nào đã biết có liên quan đến cuộc tấn công hiện tại này.#mmsecurityhttps://t.co/Fk0sAjaeit

- MetaMask ???????? (@MetaMask) Ngày 11 tháng 7 năm 2024

Cộng đồng tiền điện tử đã tập hợp lại để truyền bá nhận thức và giảm thiểu thiệt hại tiềm ẩn. Nhà phát triển DefiLlama 0xngmi đã chia sẻ danh sách hơn 100 giao thức DeFi có thể bị ảnh hưởng bởi cuộc tấn công, bao gồm những cái tên nổi tiếng như Pendle Finance, dYdX, Polymarket và LookRare.

Bài đăng Tấn công chiếm quyền điều khiển DNS nhắm vào nhiều giao thức DeFi xuất hiện đầu tiên trên Blockonomi.