Попередження про безпеку: 220 протоколів DeFi вразливі для можливого перехоплення DNS Squarespace
[TL; DR]
DNS-атаки можуть перенаправляти DNS-записи на зловмисні веб-сайти, які можуть висушити гаманці користувачів.
Протягом перших двох тижнів липня деякі зловмисники намагалися компрометувати MetaMask, Компаунд і Celer Networks, серед інших.
Користувачі повинні використовувати складні паролі для електронної пошти, а також двофакторну аутентифікацію для своїх цифрових облікових записів.
Вступ
Кіберзлочинці, що займаються криптовалютами, все більше розвивають свої методи викрадення цифрових активів від непідозрілих інвесторів. Тому дуже важливо, щоб люди, які здійснюють криптотранзакції, були уважні до незвичних активностей на блокчейн-мережах, з якими вони взаємодіють. Сьогодні ми зосередимося на тому, як кіберзлочинці, що займаються криптовалютами, використовують викрадення DNS, щоб вкрасти у людей. Ми також дослідимо способи, які інвестори можуть захистити свої активи від таких атак.
Криптовалютні атакувальники підвищують свої методи: Як атаки DNS загрожують сектору
Новий метод атаки криптовалюти, який називається викраденням DNS, загрожує безпеці різних блокчейн мереж. Цей вишуканий метод, який використовують злочинці, може вплинути на багато протоколів децентралізованих фінансів, зі страхом, що понад 220 протоколів DeFi знаходяться в дуже великій небезпеці.
Через викрадення DNS в Squarespace зловмисні суб’єкти можуть перенаправляти DNS-записи на зловживаючі IP-адреси, які використовуються для витягування цифрових активів з гаманців непідозрілих користувачів. Вже за допомогою цього методу ці атакувальники скомпрометували кілька протоколів DeFi, включаючи Compound, Ethereum протокол DeFi, та мережа Celer, мульти-ланцюжковий протокол взаємодії. Цифрові гаманці користувачів, які взаємодіють з фронтендами цільових протоколів, будуть перенаправлені на веб-сторінки, які висушать їх гаманці. Важливо зауважити, що в більшості випадків жертвам підштовхують підписувати шкідливі транзакції, що надає зловмисникам повний контроль над їх активами. Комплекти висушувачів зазвичай розгортаються через компрометовані домени та рибальські веб-сайти, тому багато криптовалютних інвесторів стикаються з ризиками безпеки DeFi.
Деякі спостерігачі зазначили, що ці нападники мають зв’язки з відомим Inferno Drainer, який використовує передові комплекти для витягування гаманців, щоб заволодіти криптоактивами жертв через обманні транзакції. За останньою публікацією Decrypt, Ідо Бен-Натан, співзасновник і генеральний директор Blockaid, переконаний, що в цих криптокрадіжках задіяний Inferno Drainer. У інтерв’ю з Decrypt, Бен-Натан сказав, «Асоціація з Inferno Drainer очевидна через спільну інфраструктуру onchain та offchain. Це включає адреси гаманця та смарт-контракту onchain, а також IP-адреси та домени offchain, пов’язані з Inferno.»
Однак, оскільки ці кіберзлочинці використовують ончейн і офчейн інфраструктуру, їх можна відстежити. Наприклад, цифрові фірми, такі як Blockaid, які працюють із постраждалими спільнотами та сторонами, можуть допомогти у виявленні вразливостей DNS та пом’якшити наслідки таких атак. Однак чітка комунікація та співпраця між різними залученими сторонами мають важливе значення для обмеження масштабів шкоди, яку може завдати атака. Бен-натан пояснив: «Blockaid вміє відстежувати адреси. Наша команда також тісно співпрацює зі спільнотою, щоб забезпечити відкритий канал для повідомлення про скомпрометовані сайти».
Ще в листопаді 2023 року Inferno Drainer оголосила про намір припинити свою діяльність. Однак, судячи з усього, група все ще становить значну кібербезпеку в криптозагрозах через викрадення DNS та інші пов’язані з цим методи. Виходячи з останніх тенденцій безпеки криптовалют, Inferno Drainer вкрав цифрових активів на суму понад 180 мільйонів доларів.
Проблема викрадення DNS: Як це працює
DNS-атака відбувається, коли зловмисники перенаправляють пошукові запити на несанкціоновані сервери доменних імен. По суті, нападник використовує несанкціоновані модифікації або шкідливий програмний код для зміни DNS-запису цільового веб-сайту, що перенаправляє користувачів на шкідливу адресу. У випадку атаки на Squarespace деякі експерти вважають, що зловмисники могли використовувати отруєння кешу DNS, що включає впровадження неправильних даних в кеші DNS. В результаті запити DNS повертають неправильні відповіді, перенаправляючи користувачів на шкідливі веб-сайти.
Протоколи DeFi схеми, що були атаковані, використовували різні методи для запобігання масштабним крадіжкам цифрових активів користувачів. Одним з широко використовуваних заходів безпеки SquareSpace було попередження користувачів про існуючу небезпеку. Наприклад, MetaMask попереджував своїх користувачів про небезпеку через соціальні медіа-платформи, такі як X.com.
Джерело: X.com
Після того, як цільові протоколи DeFi поділилися попередженнями на різних платформах соціальних мереж, багато членів різних криптоспільнот допомогли, поширивши повідомлення, попередивши багатьох користувачів цифрових активів про існуючі загрози.
Читайте також: Шість основних показників, які повинен знати кожен початківець про DeFi
Обсяг впливу: 220 протоколів DeFi під загрозою
Наразі немає конкретної інформації про повний обсяг останнього викрадення DNS Squarespace. Перші атаки на DNS були виявлені 6 і 11 липня цього року, коли зловмисники намагалися захопити контроль над Compound і Celer Network. Проте, у випадку з Celer Network їх система моніторингу зірвала атаку. Початкова оцінка атак Blockaid свідчить про те, що зловмисники націлені на доменні імена, які надає Squarespace. Це ставить понад 220 DeFi протоколів під ризик безпеки DeFi. Це тому, що всі Додатки DeFi компанії, які використовують домен Squarespace, піддаються ризикам атак DNS.
Стосовно цього, через X post, Blockaid сказав З першої оцінки випливає, що зловмисники діють, захоплюючи DNS-записи проектів, розміщених на SquareSpace. Атаки на різні протоколи DeFi, цифрові гаманці та криптобіржі були зірвані через їхні потужні системи безпеки. У більшості цих випадків фронтенди повідомляли користувачів про небезпеку, як показує наступний знімок екрана.
Джерело: x.com
Як бачимо, цифрові гаманці, такі як Coinbase Wallet та MetaMask, позначили пов’язані веб-сайти як зловісні та небезпечні. Прикладами деяких DeFi протоколів, що перебувають під загрозою, є Thorchain, Flare, Pendle Finance, Aptos Labs, Polymarket, Satoshi Protocol, Near, dYdX, Nirvana, MantaDAO та Ferrum.
Роль DNS в криптобезпеці
У простих термінах, система доменних імен (DNS) перетворює назви веб-сайтів на комп’ютерно-дружні адреси. Наприклад, вони перекладають доменні імена, такі як www.tcore.com), в числові IP-адреси, такі як 82.223.84.85, що дозволяє пристроям з’єднуватися з різними онлайн-пунктами призначення. Однак DNS відіграє важливу роль у захисті онлайн-платформ криптовалюти. Оскільки це децентралізована система, вона не має центральної точки відмови, що запобігає багатьом кібератакам. Крім того, блокчейн DNS робить неможливим втручання поганих акторів у транзакції, тим самим захищаючи цифрові активи, які існують у різних децентралізованих мережах.
Як платформи DeFi можуть захистити себе від подібних вразливостей
Після DNS-атак експерти з кібербезпеки запропонували кілька методів боротьби з подібними вразливостями DNS. DeFi-компанії можуть додати більше рівнів безпеки до своїх протоколів. Наприклад, вони можуть переналаштувати свої смарт-контракти, щоб запобігти оновленням, якщо вони не перевірені в мережі. У цьому випадку перед оновленням DNS повинен запросити підпис у гаманця користувача. Це ускладнить хакерам успіх у своїх місіях, оскільки їм потрібно буде зламати як гаманець, так і реєстратора.
Також, протоколи DeFi можуть потребувати додавання закладок до довірених URL-адрес і перевіряти всі пов’язані веб-адреси. Вони також можуть додати відповідні розширення браузера, такі як HTTPS, а також двофакторну аутентифікацію (2FA) для цифрових облікових записів і гаманців. Крім того, протокол DeFi повинен мати комунікаційні канали для повідомлення про підозрілі криптовалютні операції. Завдяки цьому будь-яка пошкоджена платформа може отримати підтримку від інших партнерів з безпеки.
Ще один спосіб захист DeFi платформ для блокування шкідливих веб-сайтів взаємодії з їхніми розумними контрактами. Наприклад, вони можуть використовувати потужне антивірусне програмне забезпечення заблокувати фішингові веб-сайти.
Посібник користувача: Як захистити особисті активи
Крім заходів безпеки протоколу DeFi, користувачі повинні використовувати власні стратегії захисту криптовалютних активів. Наприклад, вони повинні встановити антивірусне програмне забезпечення на свої електронні пристрої. Також вони повинні використовувати двофакторну аутентифікацію, VPN та надійні брандмауери. Крім того, особи повинні використовувати надійні паролі для своїх електронних листів та реєстрації доменів.
Висновок
Більше 220 протоколів DeFi під загрозою DNS-атак. Протягом перших двох тижнів липня деякі зловмисники намагалися скомпрометувати кілька протоколів DeFi та цифрових гаманців, включаючи Compound, Celer Network, гаманець Coinbase та MetaMask. Однак більшість цих платформ відбили атаки. Щоб запобігти майбутнім атакам, криптокомпанії можуть впровадження додаткових заходів безпеки такі як двофакторна аутентифікація та відповідні розширення браузера, такі як HTTPS.
Питання та відповіді про DNS-атаку
Що відбувається, якщо DNS викрадено?
Якщо DNS-запит буде перехоплений, він перенаправить записи DNS на шкідливі веб-сайти, що може призвести до спустошення гаманців користувачів. Щоб запобігти атакам на DNS, компаніям DeFi може знадобитися переконфігурувати свої смарт-контракти, щоб зупинити оновлення, які зазвичай відбуваються без перевірки підписів на ланцюжку.
Як ви зменшуєте вплив крадіжки DNS?
Користувачі можуть використовувати різні стратегії, такі як міцні паролі електронної пошти та двофакторна аутентифікація, щоб зменшити ризик викрадення DNS. З іншого боку, протоколи DeFi можуть потребувати додавання в закладки надійних URL-адрес та перевірку всіх пов’язаних веб-адрес.
Чи запобігає VPN перехопленню DNS?
VPN може запобігти викраденню DNS. Це тому, що VPN може запобігти перехопленню запитів DNS. Проте користувачі повинні використовувати надійні VPN.
Яка різниця між DNS-доведенням та DNS-викраденням?
DNS-викрадення - це зміна налаштувань DNS, тоді як DNS-перевірка змінює записи DNS. Звичайно, зловмисники використовують шкідливе програмне забезпечення для полегшення DNS-викрадення.
