V decentraliziranem finančnem sektorju (DeFi) se je razširil obsežen in uničujoč napad in vse več ljudi se sprašuje kako zaščititi kriptovalute.

Napadalci so s prefinjeno strategijo ugrabitve sistema imen domen (DNS) uspešno nadomestili zaupanja vredne platforme z zlonamernimi spletnimi mesti, namenjenimi praznjenju denarnic. Ta kršitev lahko vpliva na več kot 200 različnih protokolov DeFi.

Zaščtita kripto

Novice o tem so se začele pojavljati 11. julija, ko je več uporabnikov aplikacij DeFi začelo poročati, da so bili preusmerjeni na lažna spletna mesta.

Ta incident je razkril pomembne ranljivosti v informacijski infrastrukturi, na kateri temeljijo vodilni protokoli v sektorju DeFi, kot so Compound Finance, Celer Network in celo široko uporabljena kripto denarnica MetaMask.

Družba Compound Finance je o napadu poročala med prvimi

Varnostni raziskovalci so napad prvič opazili, ko so bili uporabniki, ki so poskušali dostopati do Compound Finance, glavnega posojilnega protokola v sistemu DeFi. Preusmerjeni so bili na zlonamerno spletno mesto. To goljufivo spletno mesto je gostilo aplikacijo “drainer”, izdelano za krajo sredstev uporabnikov, potem ko jih je pozvala, naj vnesejo svoje poverilnice za dostop ali povežejo svoje denarnice.

Ko se je novica o kršitvi Compound Finance začela širiti, je hitro postalo jasno, da ne gre za osamljen primer. Celer Network, protokol za interoperabilnost veriženja blokov, je sporočil, da so hekerji napadli tudi njega. Vendar je njegov sistem za spremljanje domen uspešno prestregel poskus prevzema še preden je nastala kakršnakoli škoda.

Istega dne je varnostna platforma za veriženje blokov Blockaid izdala opozorilo, da obstaja nevarnost vdora v več vmesnikov protokolov DeFi ali da je do vdora že prišlo. Prve preiskave podjetja so pokazale, da so napadalci izkoristili ranljivosti v zapisih DNS projektov, ki gostujejo v Squarespace, široko uporabljani platformi za ustvarjanje in gostovanje spletnih strani.

Več kot 200 protokolov je lahko ogroženih zaradi napada DNS

Med prizadevanji kripto skupnosti, da bi ocenila obseg napada, je razvijalec iz podjetja za analizo veriženja blokov DefiLlama. Znan pod psevdonimom “0xngmi”, sestavil seznam protokolov, na katere je incident morda vplival.

<blockquote class=”twitter-tweet” data-media-max-width=”560″><p lang=”en” dir=”ltr”>compiled a (partial) list of domains connected to square space that would be at risk of being hacked rn, i’d avoid them for now<a href=”https://t.co/Cih5YTgFL9″>https://t.co/Cih5YTgFL9</a></p>&mdash; 0xngmi (@0xngmi) <a href=”https://twitter.com/0xngmi/status/1811375305258320123?ref_src=twsrc%5Etfw”>July 11, 2024</a></blockquote> <script async src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>

Na seznamu so bila ugledna imena na področju DeFi, kot so Pendle Finance, Polymarket in dYdX. Skupno je trdil, da je lahko ranljivih več kot 100 različnih protokolov ali pa jih je incident že prizadel.

Podjetje Pendle je pozneje potrdilo napad in navedlo, da je njegov nadzorni robot zaznal dodajanje “novega zlonamernega DNS” v svoje zapise DNS, ki je uporabnike preusmeril na goljufivo spletno mesto. Ido Ben-Natan, soustanovitelj in glavni izvršni direktor podjetja Blockaid, je sporočil, da bi lahko bilo število prizadetih projektov dvakrat večje od prvotno sporočenega, saj je njegovo podjetje odkrilo do 228 drugih ogroženih aplikacij DeFi.

Vektor napada: Squarespaceov nakup Googlovih domen

Zdi se, da je glavni vzrok ranljivosti povezan s Squarespaceovim prevzemom Googlovega podjetja za registracijo domen. Družba Squarespace je junija 2023 za 180 milijonov dolarjev prevzela domene Google, s čimer je pod svoje upravljanje prenesla številna spletna mesta. Prenos teh spletnih domen z Googla na Squarespace se je začel 10. julija, le dan pred odkritjem napadov.

Varnostni strokovnjaki so pri tem prehodu ugotovili kritično pomanjkljivost: med prehodom je bila deaktivirana dvofaktorska avtentikacija (2FA), ki je varovala spletna mesta, ki jih je prej upravljal Google. Zaradi tega je bilo veliko domen ranljivih za nepooblaščen dostop in manipulacijo.

Bobby Ong, soustanovitelj podjetja CoinGecko, je situacijo povzel na Twitterju: “Trenutno poteka napad DNS, ki vpliva na registrar domene Squarespace. Najbolje je, da naslednjih nekaj dni ne sodelujete s kriptovalutami in počivate, dokler se vse skupaj ne reši.”

Kako deluje napad DNS?

hekerski napad

Napadalci so izkoristili začasno odsotnost zaščite 2FA in pridobili nepooblaščen dostop do nastavitev domene. Ko so pridobili nadzor, so lahko spremenili zapise DNS in uporabnike z legitimnih spletnih mest teh protokolov DeFi preusmerili na zlonamerne klone, namenjene kraji sredstev.

Blockaidova analiza je razkrila, da so napadalci uporabljali komplet za izčrpavanje. Ta je povezan s skupino Inferno Drainer, zloglasno skupino, ki je znana po razvoju zapletenih shem za ribarjenje in izčrpavanje denarnic.

Komplet Inferno Drainer je izdelan tako, da nič hudega sluteče uporabnike zavede, da odobrijo transakcije, ki njihova sredstva prenesejo neposredno v napadalčevo denarnico. Povezava s skupino Inferno Drainer je bila utemeljena s kombinacijo dokazov na verigi in zunaj nje, kot so skupni naslovi denarnic, podobnosti pametnih pogodb ter uporaba skupnih IP-naslovov in domen, ki so bili prej povezani z napadi Inferno.

Protokoli uporabnikom sporočajo, naj se za zdaj izogibajo aplikacijam Web3

Večina prizadetih protokolov in širša skupnost DeFi je hitro sprejela ukrepe za zmanjšanje škode, ki jo je povzročila kršitev. Podjetji Compound Finance in Celer Network sta hitro priznali napade DNS na svoje platforme in začeli preiskovati celoten obseg kršitve.

Oba protokola sta uporabnike pozvala, naj ne komunicirajo z njunimi platformami, dokler se situacija v celoti ne razreši. Poleg tega je priljubljeni ponudnik denarnic MetaMask nemudoma uvedel zaščitni ukrep in napovedal, da bo uporabnikom, ki bodo poskušali opraviti transakcije na znanih ogroženih spletnih mestih. Namen tega proaktivnega ukrepa je bil zmanjšati tveganje za sredstva uporabnikov, če ti ne bi vedeli, kaj se dogaja.

Ali so aplikacije Web3 varne?

Ta napad z ugrabitvijo DNS je razkril številna kritična vprašanja v zvezi z varnostjo ekosistema web3, ki jih je treba kmalu rešiti, vključno z naslednjimi:

  1. Zanašanje na centralizirano infrastrukturo: Incident kaže na paradoks decentraliziranih finančnih aplikacij, ki se zanašajo na centralizirano spletno infrastrukturo za svoj sprednji del. Medtem ko so same pametne pogodbe, ki temeljijo na verigi blokov, še vedno varne, so se centralizirani vmesniki sprednjega dela izkazali za pomembno točko ranljivosti.
  2. Pomen varnosti domene: Napad poudarja ključno vlogo, ki jo ima varnost domen pri splošni varnosti protokolov DeFi. Velja za opomnik, da lahko ranljivosti v sloju web2 ogrozijo tudi najzanesljivejšo varnost pametnih pogodb.
  3. Izobraževanje in budnost uporabnikov: Uspeh teh incidentov je v veliki meri odvisen od ravnanja uporabnikov. Ta incident poudarja stalno potrebo po izobraževanju uporabnikov in pomen previdnega pristopa pri interakciji z aplikacijami DeFi.
  4. Regulativne posledice: Ker se sektor DeFi še naprej razvija in priteguje več pozornosti javnosti. Lahko takšni incidenti spodbudijo večji nadzor s strani regulatorjev, ki jih lahko skrbi zaščita potrošnikov in vlagateljev.

Kako zaščititi kriptovalute pred DNS napadi

Medtem ko se skupnost DeFi spopada s posledicami tega napada, se zdaj osredotoča na razvoj trajnih rešitev za preprečevanje prihodnjih incidentov. Pri preprečevanju incidentov z ugrabitvijo bi lahko platformam pomagalo več strategij, kot so:

  1. Decentralizirane domenske rešitve: Matthew Gould, ustanovitelj ponudnika domen Web3 Unstoppable Domains, je predlagal, da bi morali protokoli za domene ustvariti preverjene zapise v verigi. S tem bi lahko zagotovili dodatno raven zaščite za brskalnike, ki bi lahko zmanjšala tveganje napadov na DNS.
  2. Izboljšano preverjanje pristnosti za posodobitve DNS: Gould je predlagal funkcijo, v skladu s katero bi posodobitve DNS zahtevale podpis iz uporabnikove denarnice. To bi bistveno povečalo težave za hekerje, saj bi morali ločeno ogroziti registratorja in uporabnika.
  3. Izboljšani sistemi za spremljanje in opozarjanje: Incident poudarja pomen zanesljivih sistemov spremljanja, ki lahko hitro zaznajo nepooblaščene spremembe DNS in se nanje odzovejo.
  4. Večja uporaba decentraliziranega gostovanja: Nekateri strokovnjaki se zavzemajo za širšo uporabo decentraliziranih rešitev gostovanja, kot je medplanetarni datotečni sistem (IPFS).
  5. Redne varnostne revizije: Redne in celovite varnostne revizije ne bi smele zajemati le kode pametnih pogodb, temveč tudi celotno infrastrukturo, ki trenutno podpira aplikacije DeFi.

Napad na ugrabitev DNS 11. julija, ki je prizadel več protokolov DeFi, je kljub dosedanjemu napredku v ekosistemu jasen opomin na nenehne varnostne izzive, s katerimi se soočajo spletne aplikacije. Ker sektor DeFi napreduje in raste, bo odpravljanje teh ranljivosti bistvenega pomena za krepitev zaupanja uporabnikov in doseganje široke uporabe.