Aerodrome Finance, DEX terkemuka Base, sedang menyelidiki serangan pembajakan DNS pada domain terpusatnya yang mengekspos pengguna pada upaya phishing yang menargetkan NFT, ETH, dan USDC melalui permintaan tanda tangan berbahaya.
Aerodrome Finance, bursa terdesentralisasi terkemuka di jaringan Base, mengonfirmasi bahwa mereka sedang menyelidiki dugaan serangan pembajakan DNS yang mengkompromikan domain terpusatnya.
Protokol memperingatkan pengguna untuk menghindari mengakses domain .finance dan .box utamanya dan sebaliknya menggunakan dua cermin terdesentralisasi yang aman yang dihosting di infrastruktur ENS.
Serangan berlangsung dengan cepat, dengan pengguna yang terpengaruh melaporkan permintaan tanda tangan jahat yang dirancang untuk menguras beberapa aset, termasuk NFT, ETH, dan USDC, melalui permintaan persetujuan tanpa batas.
Sementara tim berpendapat bahwa semua kontrak pintar tetap aman, kompromi frontend mengekspos pengguna pada upaya phishing yang canggih yang dapat menguras dompet bagi mereka yang tidak dengan hati-hati memantau persetujuan transaksi.
Pembajakan DNS Memaksa Penguncian Protokol Darurat
Penyelidikan Aerodrome dimulai ketika tim mendeteksi aktivitas yang tidak biasa pada infrastruktur domain utamanya sekitar enam jam sebelum mengeluarkan peringatan publik.
Protokol segera menandai penyedia domainnya, Box Domains, sebagai kemungkinan yang telah dikompromikan dan mendesak layanan untuk segera menghubungi.
Dalam beberapa jam, tim mengonfirmasi bahwa kedua domain terpusat, .finance dan .box, telah dibajak dan tetap di bawah kendali penyerang.
Protokol merespons dengan menutup akses ke semua URL utama sambil menetapkan dua alternatif aman yang terverifikasi: aero.drome.eth.limo dan aero.drome.eth.link.
Cermin terdesentralisasi ini memanfaatkan Layanan Nama Ethereum, yang beroperasi secara independen dari sistem DNS tradisional yang rentan terhadap pembajakan.
Tim menekankan bahwa keamanan kontrak pintar tetap utuh sepanjang insiden, membatasi kebocoran hanya pada titik akses frontend.
Protokol saudara Velodrome menghadapi ancaman serupa, mendorong timnya untuk mengeluarkan peringatan paralel tentang keamanan domain.
Sifat terkoordinasi dari peringatan tersebut menunjukkan bahwa penyerang mungkin telah secara sistematis menargetkan infrastruktur Box Domains untuk mengkompromikan beberapa platform DeFi secara bersamaan.
Pengguna Melaporkan Upaya Pengurasan Multi-Aset yang Agresif
Salah satu pengguna yang terpengaruh menggambarkan menghadapi antarmuka jahat sebelum peringatan resmi beredar, merinci bagaimana situs yang dikompromikan meluncurkan serangan dua tahap yang menipu.
Frontend yang dibajak pertama-tama meminta tanda tangan yang tampaknya tidak berbahaya yang hanya mengandung angka “1,” membangun koneksi dompet awal.
Segera setelah permintaan yang tampaknya tidak berbahaya ini, antarmuka memicu sejumlah permintaan persetujuan tanpa batas untuk NFT, ETH, USDC, dan WETH.
“Itu meminta tanda tangan sederhana, lalu segera mencoba persetujuan tanpa batas untuk menguras NFT, ETH, dan USDC,” lapor pengguna tersebut. “Jika Anda tidak memperhatikan, Anda bisa kehilangan segalanya.”
Korban mendokumentasikan serangan melalui tangkapan layar dan rekaman video, menangkap progresi dari permintaan tanda tangan awal hingga beberapa upaya pengurasan.
Penyelidikan mereka, yang dilakukan dengan bantuan AI, memeriksa konfigurasi browser, ekstensi, pengaturan DNS, dan titik akhir RPC sebelum menyimpulkan bahwa pola serangan sejalan dengan metodologi pembajakan DNS.
Anggota komunitas lain berbagi pengalaman dengan insiden pengurasan terpisah baru-baru ini, menggambarkan diri mereka sebagai veteran berpengalaman dan pengembang full-stack yang masih menjadi korban serangan canggih.
Meskipun memiliki keahlian teknis, pengguna tersebut kehilangan dana yang signifikan dan menghabiskan 3 hari mengembangkan skrip berbasis bundel Jito untuk memulihkan sekitar 10-15% dari aset yang dicuri melalui operasi stealth di on-chain.
Jurnalis Crypto
Anas Hassan
