安全警報：220個DeFi協議可能遭受Squarespace DNS劫持

2024-07-24, 07:50

[TL; DR]

DNS攻擊可以將DNS記錄重定向到惡意網站，從而導致用戶錢包被損失。

在7月的前兩週，一些不法分子試圖破壞MetaMask， Compound 和Celer Networks等。

用戶應該為他們的電子郵箱使用強密碼，併為他們的數字賬戶啟用雙重認證。

簡介

加密攻擊者正在增加竊取數字資產的方法，而這些資產來自毫不知情的投資者。因此，進行加密交易的人需要注意與他們交互的區塊鏈網絡上的異常活動。今天我們重點關注加密攻擊者如何利用DNS劫持來竊取資產。我們還將探討投資者如何保護自己的資產免受此類攻擊。

加密攻擊者升級他們的方法：DNS攻擊如何威脅這一行業

一種名為DNS劫持的新的加密攻擊方法正在威脅各種區塊鏈網絡的安全。這種精密的方法可能會影響許多去中心化金融協議，有人擔心目前有超過220個DeFi協議正面臨巨大威脅。

通過 Squarespace DNS 劫持，惡意行為者可以將 DNS 記錄重定向到用於從不知情用戶的錢包中轉移數字資產的惡意 IP 地址。已經有攻擊者使用這種方法入侵了幾個 DeFi 協議，包括 Compound，一個以太坊基於 DeFi 協議和跨鏈互操作性協議的 Celer Network。與目標協議的前端進行交互的用戶的數字錢包將被重定向到將耗盡其錢包的網頁。值得注意的是，在大多數情況下，受害者被誘騙簽署惡意交易，從而使攻擊者完全控制其資產。這些耗盡工具通常是通過被攻擊的域和釣魚網站部署的，因此許多加密貨幣投資者面臨著 DeFi 安全風險。

一些觀察者指出，這些攻擊者與臭名昭著的Inferno Drainer有關，後者使用先進的錢包抽乾工具通過欺騙性交易控制受害者的加密資產。根據最近Decrypt的一篇報道，Blockaid的聯合創始人兼首席執行官Ido Ben-Natan相信Inferno Drainer參與了這些加密劫案。在接受Decrypt採訪時，Ben-Natan表示“由於共享的鏈上和鏈下基礎設施，因特諾排水者的關聯是明顯的。這包括鏈上錢包和智能合約地址，以及與因特諾相關的鏈下IP地址和域名。”

然而，由於這些網絡犯罪分子共享鏈上和鏈下基礎設施，因此可以追蹤他們。例如，與受影響的社區和各方合作的數字公司（如Blockaid）可以幫助識別DNS漏洞並減輕此類攻擊的影響。然而，各方之間的清晰溝通和合作對於限制攻擊可能造成的損害範圍至關重要。Ben-natan解釋道：“Blockaid能夠跟蹤這些地址。我們的團隊還與社區密切合作，以確保有一個開放的渠道來報告受損站點。”
早在2023年11月，Inferno Drainer宣佈其解散運營的意圖。然而，從目前情況來看，該組織仍通過DNS劫持和其他相關方法對加密貨幣安全構成很大威脅。根據最近的加密貨幣安全趨勢，Inferno Drainer已經竊取了價值超過1.8億美元的數字資產。

DNS劫持問題：它是如何工作的

DNS攻擊發生在惡意行為者將搜索查詢重定向到未經授權的域名服務器時。基本上，攻擊者使用未經授權的修改或惡意軟件來更改目標網站的DNS記錄，從而將用戶重定向到惡意目標。在Squarespace攻擊案中，一些專家認為攻擊者可能使用了DNS緩存汙染的方法，即向DNS緩存中注入虛假數據。結果，DNS查詢會返回錯誤響應，然後將用戶重定向到惡意網站。

這個去中心化金融協議受到攻擊的平臺採用了各種方法來防止用戶數字資產的大規模被盜。其中一個被廣泛使用的SquareSpace安全響應是通過社交媒體平臺向用戶發出警告。例如，MetaMask通過社交媒體平臺警告用戶存在危險。 X.com.

來源： X.com

一旦被瞄準的去中心化金融協議在各種社交媒體平臺上分享了警告，許多不同加密社區的成員通過傳播信息來幫助，提醒許多數字資產用戶存在的威脅。

閱讀更多： DeFi 初學者必須瞭解的六個主要指標

影響範圍：220個去中心化金融協議處於風險之中

目前，關於最近Squarespace DNS劫持的完整程度尚無具體信息。首次發現DNS攻擊是在今年7月6日和11日，當時惡意行為者試圖控制Compound和Celer Network。然而，在Celer Network的情況下，其監控系統挫敗了這次攻擊。Blockaid對這些攻擊的初步評估表明，攻擊者正在瞄準Squarespace提供的域名。這將使超過220個DeFi協議面臨DeFi安全風險。這是因為所有去中心化金融應用使用Squarespace域名的網站面臨DNS攻擊風險。

關於此事，通過一個 Blockaid說，X帖“從初步評估來看，攻擊者似乎是通過劫持託管在SquareSpace上的項目的DNS記錄來操作的。” 對各種DeFi協議、數字錢包和加密交易所的攻擊被它們強大的安全系統挫敗。在這些情況中，大多數前端通知用戶即將到來的危險，如下面的截圖所示。

來源：x.com

據觀察，包括Coinbase錢包和MetaMask在內的數字錢包將相關網站標記為惡意和不安全。一些風險的DeFi協議的例子包括Thorchain、Flare、Pendle Finance， Aptos 實驗室，Polymarket，Satoshi Protocol，Near dYdX，Nirvana，MantaDAO和Ferrum。

DNS在加密安全中的作用

簡單來說，域名系統（DNS）將網站名稱轉換為計算機友好的地址。例如，它們將域名（例如www.tcore.com）轉換為數字IP地址（例如82.223.84.85），從而使設備能夠連接到不同的在線目的地。然而，DNS在保護在線加密平臺方面發揮著重要作用。由於它是一個分散的系統，沒有中心化的故障點，可以防止許多網絡攻擊。另外，區塊鏈DNS使惡意行為者無法篡改交易，從而保護存在於各種分散網絡上的數字資產。

DeFi平臺如何保護自己免受類似的漏洞

在DNS攻擊之後，網絡安全專家建議了處理類似DNS漏洞的幾種方法。DeFi公司可以為其協議增加更多安全層。例如，他們可以重新配置他們的智能合約，以阻止未經驗證的鏈上簽名的更新。在這種情況下，在更新之前，DNS應該從用戶的錢包請求籤名。這將使黑客更難成功完成他們的任務，因為他們需要同時入侵錢包和註冊商。

此外，DeFi協議可能需要收藏可信任的URL，並驗證所有相關的網站地址。他們還可以添加相關的瀏覽器擴展，如HTTPS，以及數字賬戶和錢包的雙因素認證（2FA）。此外，DeFi協議應該有通信渠道來報告可疑的加密貨幣活動。有了這樣，任何受影響的平臺都可以得到其他安全合作伙伴的支持。

另一種方式保護去中心化金融平臺使用內容過濾來阻止惡意網站與其智能合約進行交互。例如，他們可以使用強大的惡意軟件阻止釣魚網站.

用戶指南：如何保護個人資產

除了實施DeFi協議安全措施外，用戶還應採用自己的加密資產保護策略。例如，他們應在電子設備上安裝防惡意軟件。他們還必須使用雙因素認證、VPN和強大的防火牆。此外，個人還應為他們的電子郵件和域名註冊使用強密碼。

結論

超過220個去中心化金融協議面臨域名系統攻擊威脅。在7月的前兩週，一些惡意攻擊者試圖入侵幾個包括Compound、Celer Network、Coinbase錢包和MetaMask在內的去中心化金融協議和數字錢包。然而，大多數這些平臺成功抵禦了這些攻擊。為了防止未來的攻擊，加密公司可以採取以下措施：引入額外的安全措施例如雙因素身份驗證和相關的瀏覽器擴展，如HTTPS。