Aerodrome Finance, wiodąca DEX Base, bada atak typu DNS hijacking na swoje scentralizowane domeny, który narażał użytkowników na próby phishingu skierowane na NFT, ETH i USDC za pomocą złośliwych żądań podpisu.
Aerodrome Finance, wiodąca zdecentralizowana giełda na sieci Base, potwierdziła, że prowadzi dochodzenie w sprawie podejrzewanego ataku DNS hijacking, który naruszył jej scentralizowane domeny.
Protokół ostrzegł użytkowników, aby unikali dostępu do jego głównych domen .finance i .box, a zamiast tego korzystali z dwóch bezpiecznych zdecentralizowanych luster hostowanych na infrastrukturze ENS.
Atak rozwinął się szybko, a dotknięci użytkownicy zgłaszali złośliwe żądania podpisów zaprojektowane w celu wyczerpania wielu aktywów, w tym NFT, ETH i USDC, poprzez nieograniczone prośby o zatwierdzenie.
Podczas gdy zespół utrzymuje, że wszystkie kontrakty inteligentne pozostają bezpieczne, kompromitacja frontend narażała użytkowników na wyrafinowane próby phishingowe, które mogłyby wyczerpać portfele tych, którzy nie monitorowali dokładnie zatwierdzeń transakcji.
Przejęcie DNS wymusza blokadę protokołu kryzysowego
Śledztwo Aerodrome rozpoczęło się, gdy zespół wykrył nietypową aktywność na swojej głównej infrastrukturze domenowej około sześć godzin przed wydaniem publicznych ostrzeżeń.
Protokół natychmiast oznaczył swojego dostawcę domen, Box Domains, jako potencjalnie skompromitowanego i wezwał usługę do pilnego kontaktu.
W ciągu kilku godzin zespół potwierdził, że obie scentralizowane domeny, .finance i .box, zostały przejęte i pozostawały pod kontrolą atakującego.
Protokół zareagował, zamykając dostęp do wszystkich głównych adresów URL, ustanawiając jednocześnie dwie zweryfikowane, bezpieczne alternatywy: aero.drome.eth.limo i aero.drome.eth.link.
Te zdecentralizowane lustra wykorzystują Ethereum Name Service, które działa niezależnie od tradycyjnych systemów DNS, które są podatne na przejęcia.
Zespół podkreślił, że bezpieczeństwo kontraktów inteligentnych pozostało nienaruszone przez cały incydent, ograniczając naruszenie wyłącznie do punktów dostępu frontend.
Protokół siostrzany Velodrome napotkał podobne zagrożenia, co skłoniło jego zespół do wydania równoległych ostrzeżeń dotyczących bezpieczeństwa domen.
Skoordynowany charakter ostrzeżeń sugerował, że atakujący mogli systematycznie celować w infrastrukturę Box Domains, aby jednocześnie skompromitować wiele platform DeFi.
Użytkownicy zgłaszają agresywne próby wyczerpania wielu aktywów
Jeden z dotkniętych użytkowników opisał napotkanie złośliwego interfejsu przed krążącymi oficjalnymi ostrzeżeniami, szczegółowo opisując, jak skompromitowana strona wdrożyła zwodniczy atak w dwóch etapach.
Przejęty frontend najpierw poprosił o to, co wydawało się nieszkodliwym podpisem zawierającym tylko liczbę „1”, nawiązując początkowe połączenie z portfelem.
Natychmiast po tym pozornie nieszkodliwym żądaniu interfejs uruchomił nieograniczoną liczbę prośb o zatwierdzenie dla NFT, ETH, USDC i WETH.
„Poprosił o prosty podpis, a następnie natychmiast próbował nieograniczonego zatwierdzenia, aby wyczerpać NFT, ETH i USDC,” zgłosił użytkownik. „Jeśli nie zwracałeś uwagi, mogłeś stracić wszystko.”
Ofiara udokumentowała atak za pomocą zrzutów ekranu i nagrań wideo, rejestrując postęp od początkowego żądania podpisu do wielu prób wyczerpania.
Ich śledztwo, przeprowadzone z pomocą AI, zbadało konfiguracje przeglądarek, rozszerzenia, ustawienia DNS i punkty końcowe RPC, zanim doszło do wniosku, że wzór ataku odpowiadał metodologii przejmowania DNS.
Inny członek społeczności podzielił się niedawnym doświadczeniem związanym z oddzielnym incydentem wyczerpania, opisując siebie jako doświadczonego weterana i programistę full-stack, który nadal padł ofiarą wyrafinowanych ataków.
Pomimo technicznej wiedzy, użytkownik stracił znaczne środki i spędził 3 dni na opracowywaniu skryptu opartego na pakiecie Jito, aby odzyskać około 10-15% skradzionych aktywów poprzez operacje stealth na łańcuchu.
Dziennikarz kryptowalutowy
Anas Hassan
