Alerta de segurança: 220 Protocolos DeFi expostos a possível sequestro de DNS Squarespace
[TL; DR]
Os ataques DNS podem redirecionar registros DNS para sites maliciosos que podem drenar as carteiras dos usuários.
Durante as primeiras duas semanas de julho, alguns atores mal-intencionados tentaram comprometer o MetaMask. Compound e Celer Networks, entre outros.
Os utilizadores devem utilizar senhas fortes para os seus emails, bem como autenticação de dois fatores para as suas contas digitais.
Introdução
Os atacantes de criptomoeda estão aumentando seus métodos de roubo de ativos digitais de investidores desprevenidos. Assim, é essencial que as pessoas que realizam transações de criptomoeda estejam atentas a atividades incomuns nas redes blockchain com as quais interagem. Hoje vamos nos concentrar em como os atacantes de criptomoeda estão usando sequestro de DNS para roubar das pessoas. Também vamos explorar maneiras pelas quais os investidores podem proteger seus ativos contra tais ataques.
Os Atacantes de Criptomoedas Melhoram seus Métodos: Como os Ataques DNS Ameaçam o Setor
Um novo método de ataque criptográfico chamado DNS hijacking está ameaçando a segurança de várias redes blockchain. Este método sofisticado que os atores mal-intencionados estão usando pode afetar muitos protocolos de finanças descentralizadas, com receio de que mais de 220 protocolos DeFi estejam atualmente sob grande ameaça.
Através do sequestro de DNS do Squarespace, atores nefastos podem redirecionar registros de DNS para endereços IP maliciosos usados para drenar ativos digitais das carteiras de usuários desavisados. Já usando este método, esses atacantes comprometeram vários protocolos DeFi, incluindo o Compound, um Ethereum protocolo DeFi baseado e Celer Network, um protocolo de interoperabilidade multi-cadeia. As carteiras digitais dos usuários que interagem com as interfaces dos protocolos visados serão redirecionadas para páginas da web que drenarão suas carteiras. É importante ressaltar que na maioria dos casos as vítimas são enganadas a assinar transações maliciosas, o que dá aos atacantes controle total de seus ativos. Os kits de drenagem geralmente são implantados por meio de domínios comprometidos e sites de phishing, assim muitos investidores de criptomoedas enfrentam riscos de segurança DeFi.
Alguns observadores apontaram que esses atacantes têm ligações com o famoso Inferno Drainer, que usa kits avançados de esvaziamento de carteiras para assumir o controle dos ativos criptográficos das vítimas por meio de transações enganosas. Segundo uma publicação recente da Decrypt, Ido Ben-Natan, co-fundador e CEO da Blockaid, está convencido de que o Inferno Drainer está envolvido nesses roubos de criptomoedas. Em um entrevista com Decrypt, Ben-Natan disse, “A associação ao Inferno Drainer é clara devido à infraestrutura compartilhada onchain e offchain. Isso inclui endereços de carteira e contratos inteligentes onchain, bem como endereços IP e domínios offchain vinculados ao Inferno.”
No entanto, uma vez que esses cibercriminosos partilham infraestruturas on-chain e off-chain, é possível rastreá-los. Por exemplo, empresas digitais como Blockaid que trabalham com comunidades e partes afetadas podem ajudar na identificação de vulnerabilidades DNS e mitigar os efeitos de tais ataques. No entanto, uma comunicação clara e cooperação de várias partes envolvidas são essenciais para limitar a extensão dos danos que o ataque pode causar. Ben-natan explicou: “A Blockaid é capaz de rastrear os endereços. Nossa equipa também tem trabalhado em estreita colaboração com a comunidade para garantir que haja um canal aberto para reportar sites comprometidos.” Em novembro de 2023, Inferno Drainer anunciou a sua intenção de dissolver a sua operação. No entanto, pelo que parece, o grupo ainda representa muitas ameaças de cibersegurança em criptomoedas através de sequestro de DNS e outros métodos relacionados. Com base nas recentes tendências de segurança de criptomoedas, Inferno Drainer roubou mais de $180 milhões em ativos digitais.
Problema de sequestro de DNS: como funciona
O ataque DNS ocorre quando os maus atores desviam as consultas de pesquisa para servidores de nomes de domínio não autorizados. Basicamente, o atacante usa modificações não autorizadas ou malware para alterar o registro DNS do site de destino, redirecionando assim os usuários para um destino malicioso. No caso do ataque ao Squarespace, alguns especialistas acreditam que os atacantes poderiam ter usado envenenamento de cache DNS, que envolve a injeção de dados falsos nos caches DNS. Como resultado, as consultas DNS retornariam respostas incorretas antes de redirecionar os usuários para sites maliciosos.
A protocolos DeFi que foram atacados usaram vários métodos para evitar roubos em grande escala dos ativos digitais dos utilizadores. Uma das respostas de segurança do SquareSpace amplamente utilizadas foi ar os utilizadores do perigo existente. Por exemplo, a MetaMask avisou os seus utilizadores do perigo através de plataformas de redes sociais como X.com.
Source: X.com
Uma vez que os protocolos DeFi visados partilharam os avisos em várias plataformas de redes sociais, muitos membros de diferentes comunidades criptográficas ajudaram a espalhar a mensagem, ando muitos utilizadores de ativos digitais sobre as ameaças existentes.
Leia também: Seis Principais Indicadores Que Todo Iniciante Deve Conhecer Sobre DeFi
Âmbito de Impacto: 220 Protocolos DeFi em Risco
Atualmente, não há informações tangíveis sobre a extensão completa do recente sequestro de DNS do Squarespace. Os primeiros ataques de DNS foram detectados em 6 e 11 de julho deste ano, quando os atores maliciosos tentaram assumir o controle do Compound e da Celer Network. No entanto, no caso da Celer Network, seu sistema de monitoramento frustrou o ataque. A avaliação inicial do Blockaid dos ataques indica que os atacantes estão mirando os nomes de domínio fornecidos pelo Squarespace. Isso coloca mais de 220 protocolos DeFi em risco de segurança DeFi. Isso ocorre porque todos aplicações DeFi que usam o domínio do Squarespace enfrentam riscos de ataque DNS.
Relativamente a isto, através de um X post, Blockaid disse,” A partir da avaliação inicial, parece que os atacantes estão operando através da sequestro de registros DNS de projetos hospedados no SquareSpace.” Os ataques a vários protocolos DeFi, carteiras digitais e exchanges de criptomoedas foram frustrados pelos seus sistemas de segurança robustos. Na maioria desses casos, as interfaces notificaram os usuários do perigo iminente, como mostra a captura de tela a seguir.
Fonte: x.com
Como observado, carteiras digitais que incluem a Coinbase Wallet e a MetaMask marcaram os sites associados como maliciosos e inseguros. Exemplos de alguns protocolos DeFi em risco são Thorchain, Flare, Pendle Finance, Aptos Labs, Polymarket, Satoshi Protocol, Near, dYdX, Nirvana, MantaDAO e Ferrum.
O papel do DNS na segurança criptográfica
Em termos simples, um Sistema de Nomes de Domínio (DNS) converte nomes de sites em endereços compatíveis com o computador. Por exemplo, eles traduzem nomes de domínio como www.tcore.com) em endereços IP numéricos, como 82.223.84.85, permitindo que os dispositivos se conectem com diferentes destinos online. No entanto, um DNS desempenha um papel importante na proteção de plataformas de criptografia online. Por ser um sistema descentralizado, não tem ponto central de falha, o que evita muitos ataques cibernéticos. Além disso, o DNS do blockchain torna impossível para os maus atores temperar com transações, protegendo assim os ativos digitais que existem em várias redes descentralizadas.
Como as plataformas DeFi podem proteger-se contra vulnerabilidades semelhantes
Após os ataques DNS, especialistas em cibersegurança sugeriram vários métodos para lidar com vulnerabilidades semelhantes ao DNS. As empresas DeFi podem adicionar mais camadas de segurança aos seus protocolos. Por exemplo, elas podem reconfigurar seus contratos inteligentes para impedir atualizações, a menos que sejam verificadas por assinaturas onchain. Nesse caso, antes de uma atualização, um DNS deve solicitar uma assinatura da carteira do usuário. Isso tornará mais difícil para os hackers terem sucesso em suas missões, pois eles precisariam hackear tanto a carteira quanto o registrador.
Além disso, os protocolos DeFi podem precisar de marcar URLs confiáveis e verificar todos os endereços de site associados. Eles também podem adicionar extensões de navegador relevantes, como HTTPS, bem como autenticações de dois fatores (2FA) para contas e carteiras digitais. Além disso, o protocolo DeFi deve ter canais de comunicação para relatar atividades suspeitas de criptomoedas. Com isso, qualquer plataforma afetada pode obter suporte de outros parceiros de segurança.
Outra forma de proteger plataformas DeFi é usar a filtragem de conteúdo para bloquear sites maliciosos de interagir com seus contratos inteligentes. Por exemplo, eles podem usar malware robusto bloquear os sites de phishing.
Guia do Usuário: Como Proteger Ativos Pessoais
Para além das medidas de segurança do protocolo DeFi implementadas, os utilizadores devem adotar as suas próprias estratégias de proteção de ativos cripto. Por exemplo, devem instalar software antimalware nos seus dispositivos eletrónicos. Devem também usar autenticação de dois fatores, VPNs e firewalls robustos. Além disso, as pessoas devem usar passwords fortes para os seus emails e registos de domínio.
Conclusão
Mais de 220 protocolos DeFi estão sob ameaça de ataques de DNS. Durante as primeiras duas semanas de julho, alguns atacantes maliciosos tentaram comprometer vários protocolos DeFi e carteiras digitais que incluem Compound, Celer Network, carteira Coinbase e MetaMask. No entanto, a maioria dessas plataformas conseguiu repelir os ataques. Para prevenir futuros ataques, as empresas de criptomoedas podem introduzir medidas de segurança adicionais como autenticação de dois fatores e extensões relevantes do navegador, como HTTPS.
Perguntas frequentes sobre Ataque DNS
O que acontece se o DNS for sequestrado?
Se o DNS for sequestrado, ele redirecionará os registros do DNS para sites maliciosos, o que pode resultar no esgotamento das carteiras dos usuários. Para evitar ataques de DNS, as empresas DeFi podem precisar reconfigurar seus contratos inteligentes para interromper as atualizações que normalmente ocorrem sem verificações de assinaturas onchain.
Como você mitiga o sequestro de DNS?
Os usuários podem usar várias estratégias, como senhas de e-mail fortes e autenticações de dois fatores, para mitigar o sequestro de DNS. Por outro lado, os protocolos DeFi podem precisar marcar URLs confiáveis e verificar todos os endereços de website associados.
A VPN impede o sequestro de DNS?
Uma VPN pode impedir o sequestro de DNS. Isto acontece porque a VPN é capaz de evitar a interceção de consultas DNS. No entanto, os utilizadores devem usar VPNs fiáveis.
Qual é a diferença entre a prova de DNS e o sequestro de DNS?
O sequestro de DNS envolve a alteração das configurações de DNS, enquanto a prova de DNS modifica os registros de DNS. Normalmente, os atacantes usam malware para facilitar o sequestro de DNS.
