Хакеры атаковали DNS-серверы DeFi-проектов из числа клиентов Namecheap

С 23 июня ряд DeFi-проектов, включая Convex Finance, Allbridge, Ribbon Finance и DeFi Saver, столкнулся с атаками на DNS-серверы. Все они пользовались услугами регистратора доменных имен Namecheap. So far 4 #ethereum DeFi projects experienced a DNS hijack attack.@ConvexFinance @ribbonfinance @DeFiSaver and Allbridge.They are all using @Namecheap and logged into their accounts to see DNS changed. So far namecheap has provided no explanation.@Namecheap this is serious pic.twitter.com/KD9w8GJAgp— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) June 24, 2022 24 июня команда Convex Finance сообщила, что злоумышленники захватили управление DNS-сервером проекта, чтобы предложить пользователям одобрить вредоносные смарт-контракты.  В DeFi Saver заявили, что 23 июня столкнулись «с попыткой DNS-атаки». По информации разработчиков, никто из пользователей не пострадал — атаку оперативно вычислили и предприняли необходимые меры. The attack was noticed in real time thanks to security alerts and the team swiftly reacted.Same as with others, strong passwords and 2fa were used and we don't recognise security factors on our end that could have led to this.We continue closely monitoring the situation.— DeFi Saver (@DeFiSaver) June 24, 2022 Команда Ribbon Finance также сообщила о DNS-атаке на сервер app.ribbon.finance. Разработчики заявили, что закрыли уязвимость, однако в ходе инцидента два пользователя одобрили вредоносные смарт-контракты.  Аналитики платформы MistTrack отметили, что одна из жертв потеряла 16,5 WBTC (~$350 840 по курсу на момент написания).  Ribbon Finance suffered a DNS hijacking attack. On-chain analysis showed that it was the same attacker as Convex. One victim lost 16.5 WBTC. Transaction details https://t.co/65Q8jaKa7u https://t.co/lrwkz6z6AJ pic.twitter.com/3YYJWoTmUq— MistTrack (@MistTrack_io) June 24, 2022 Разработчики Allbridge обнаружили, что в некоторых случаях смарт-контракт приложения спрашивал повторное одобрение для совместимых с EVM сетей, даже если оно уже было предоставлено ранее.  Расследование показало, что злоумышленники получили доступ к DNS-записям кроссчейн-моста и для некоторых пользователей выпустили еще один запрос на одобрение, заменив адрес смарт-контракта Allbridge, на который ведет интерфейс, на вредоносный. 4/9 Further investigation uncovered that the attacker gained access to the bridge DNS records and for some users triggered another token approval request, replacing Allbridge SC address with the malicious one, using the similar first and last symbols to our official contracts.— Allbridge (@Allbridge_io) June 24, 2022 В разговоре с ForkLog сооснователь Allbridge Андрей Великий подчеркнул, что смарт-контракты не были скомпрометированы, а средства пользователей на данный момент находятся в безопасности.  Команда устранила проблему с DNS — проект переключился на провайдера Cloudflare и внедрил дополнительные протоколы безопасности. Затронутых пользователей уведомили о необходимости отозвать одобрения.  По словам Великого, аккаунт проекта в Namecheap был защищен двухфакторной аутентификацией. Когда разработчики обратились в компанию, она заблокировала личный кабинет Allbridge, но отказалась предоставить данные, которые могли бы помочь разобраться в инциденте. Специалист также рассказал, что со схожей DNS-атакой столкнулись около 23 криптовалютных проектов. Он отметил, что среди них единственным общим знаменателям является Namecheap, и добавил, что группа пострадавших рассматривает возможность подачи иска к провайдеру.  ForkLog отправил Namecheap запрос на комментарий и обновит материал, когда получит ответ. 24 июня 2022 | 16:38Апдейт: CEO Namecheap Ричард Киркендалл написал в Twitter, что компания выявила «скомпроментированного агента» и удалила доступы. We've traced this down to a specific CS agent that was either hacked or compromised somehow and have removed all access from this agent. This affected a few targeted domains but we will continue investigating.— Richard Kirkendall (@NamecheapCEO) June 24, 2022 Напомним, 24 июня хакер похитил около $100 млн в ходе атаки на кроссчейн-мост Horizon протокола Harmony.