Forklog
2022-06-24 13:58:38

Хакеры атаковали DNS-серверы DeFi-проектов из числа клиентов Namecheap

С 23 июня ряд DeFi-проектов, включая Convex Finance, Allbridge, Ribbon Finance и DeFi Saver, столкнулся с атаками на DNS-серверы. Все они пользовались услугами регистратора доменных имен Namecheap. So far 4 #ethereum DeFi projects experienced a DNS hijack attack.@ConvexFinance @ribbonfinance @DeFiSaver and Allbridge.They are all using @Namecheap and logged into their accounts to see DNS changed. So far namecheap has provided no explanation.@Namecheap this is serious pic.twitter.com/KD9w8GJAgp— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) June 24, 2022 24 июня команда Convex Finance сообщила, что злоумышленники захватили управление DNS-сервером проекта, чтобы предложить пользователям одобрить вредоносные смарт-контракты.  В DeFi Saver заявили, что 23 июня столкнулись «с попыткой DNS-атаки». По информации разработчиков, никто из пользователей не пострадал — атаку оперативно вычислили и предприняли необходимые меры. The attack was noticed in real time thanks to security alerts and the team swiftly reacted.Same as with others, strong passwords and 2fa were used and we don't recognise security factors on our end that could have led to this.We continue closely monitoring the situation.— DeFi Saver (@DeFiSaver) June 24, 2022 Команда Ribbon Finance также сообщила о DNS-атаке на сервер app.ribbon.finance. Разработчики заявили, что закрыли уязвимость, однако в ходе инцидента два пользователя одобрили вредоносные смарт-контракты.  Аналитики платформы MistTrack отметили, что одна из жертв потеряла 16,5 WBTC (~$350 840 по курсу на момент написания).  Ribbon Finance suffered a DNS hijacking attack. On-chain analysis showed that it was the same attacker as Convex. One victim lost 16.5 WBTC. Transaction details https://t.co/65Q8jaKa7u https://t.co/lrwkz6z6AJ pic.twitter.com/3YYJWoTmUq— MistTrack (@MistTrack_io) June 24, 2022 Разработчики Allbridge обнаружили, что в некоторых случаях смарт-контракт приложения спрашивал повторное одобрение для совместимых с EVM сетей, даже если оно уже было предоставлено ранее.  Расследование показало, что злоумышленники получили доступ к DNS-записям кроссчейн-моста и для некоторых пользователей выпустили еще один запрос на одобрение, заменив адрес смарт-контракта Allbridge, на который ведет интерфейс, на вредоносный. 4/9 Further investigation uncovered that the attacker gained access to the bridge DNS records and for some users triggered another token approval request, replacing Allbridge SC address with the malicious one, using the similar first and last symbols to our official contracts.— Allbridge (@Allbridge_io) June 24, 2022 В разговоре с ForkLog сооснователь Allbridge Андрей Великий подчеркнул, что смарт-контракты не были скомпрометированы, а средства пользователей на данный момент находятся в безопасности.  Команда устранила проблему с DNS — проект переключился на провайдера Cloudflare и внедрил дополнительные протоколы безопасности. Затронутых пользователей уведомили о необходимости отозвать одобрения.  По словам Великого, аккаунт проекта в Namecheap был защищен двухфакторной аутентификацией. Когда разработчики обратились в компанию, она заблокировала личный кабинет Allbridge, но отказалась предоставить данные, которые могли бы помочь разобраться в инциденте. Специалист также рассказал, что со схожей DNS-атакой столкнулись около 23 криптовалютных проектов. Он отметил, что среди них единственным общим знаменателям является Namecheap, и добавил, что группа пострадавших рассматривает возможность подачи иска к провайдеру.  ForkLog отправил Namecheap запрос на комментарий и обновит материал, когда получит ответ. 24 июня 2022 | 16:38Апдейт: CEO Namecheap Ричард Киркендалл написал в Twitter, что компания выявила «скомпроментированного агента» и удалила доступы. We've traced this down to a specific CS agent that was either hacked or compromised somehow and have removed all access from this agent. This affected a few targeted domains but we will continue investigating.— Richard Kirkendall (@NamecheapCEO) June 24, 2022 Напомним, 24 июня хакер похитил около $100 млн в ходе атаки на кроссчейн-мост Horizon протокола Harmony.

获取加密通讯
阅读免责声明 : 此处提供的所有内容我们的网站,超链接网站,相关应用程序,论坛,博客,社交媒体帐户和其他平台(“网站”)仅供您提供一般信息,从第三方采购。 我们不对与我们的内容有任何形式的保证,包括但不限于准确性和更新性。 我们提供的内容中没有任何内容构成财务建议,法律建议或任何其他形式的建议,以满足您对任何目的的特定依赖。 任何使用或依赖我们的内容完全由您自行承担风险和自由裁量权。 在依赖它们之前,您应该进行自己的研究,审查,分析和验证我们的内容。 交易是一项高风险的活动,可能导致重大损失,因此请在做出任何决定之前咨询您的财务顾问。 我们网站上的任何内容均不构成招揽或要约