Aerodrome Finance, DEX hàng đầu của Base, đang điều tra một cuộc tấn công chiếm đoạt DNS trên các miền tập trung của nó đã khiến người dùng bị lừa đảo nhắm đến NFTs, ETH và USDC thông qua các yêu cầu chữ ký độc hại.
Aerodrome Finance, sàn giao dịch phi tập trung hàng đầu trên mạng Base, xác nhận rằng họ đang điều tra một cuộc tấn công chiếm đoạt DNS bị nghi ngờ đã xâm phạm các miền tập trung của nó.
Giao thức cảnh báo người dùng tránh truy cập vào các miền chính .finance và .box của nó và thay vào đó sử dụng hai gương phi tập trung an toàn được lưu trữ trên cơ sở hạ tầng ENS.
Cuộc tấn công diễn ra nhanh chóng, với người dùng bị ảnh hưởng báo cáo các yêu cầu chữ ký độc hại nhằm làm cạn kiệt nhiều tài sản, bao gồm NFTs, ETH và USDC, thông qua các yêu cầu phê duyệt không giới hạn.
Trong khi đội ngũ khẳng định rằng tất cả các hợp đồng thông minh vẫn an toàn, sự xâm phạm giao diện đã khiến người dùng đối mặt với các cuộc tấn công lừa đảo tinh vi có thể đã làm cạn kiệt ví của những người không chú ý theo dõi các phê duyệt giao dịch.
Chiếm đoạt DNS buộc phải khóa quy trình khẩn cấp
Cuộc điều tra của Aerodrome bắt đầu khi đội ngũ phát hiện hoạt động bất thường trên cơ sở hạ tầng miền chính của nó khoảng sáu giờ trước khi đưa ra cảnh báo công khai.
Giao thức ngay lập tức đã đánh dấu nhà cung cấp miền của mình, Box Domains, là có thể bị xâm phạm và khuyến khích dịch vụ này liên hệ khẩn cấp.
Trong vòng vài giờ, đội ngũ đã xác nhận rằng cả hai miền tập trung, .finance và .box, đã bị chiếm đoạt và vẫn nằm dưới sự kiểm soát của kẻ tấn công.
Giao thức đã phản hồi bằng cách đóng quyền truy cập vào tất cả các URL chính trong khi thiết lập hai lựa chọn an toàn đã được xác minh: aero.drome.eth.limo và aero.drome.eth.link.
Những gương phản chiếu phi tập trung này tận dụng Dịch vụ Tên Ethereum, hoạt động độc lập với các hệ thống DNS truyền thống dễ bị chiếm đoạt.
Đội ngũ nhấn mạnh rằng bảo mật hợp đồng thông minh vẫn được giữ nguyên trong suốt sự cố, chỉ giới hạn sự xâm phạm ở các điểm truy cập giao diện.
Giao thức chị em Velodrome đã phải đối mặt với những mối đe dọa tương tự, buộc đội ngũ của nó phải đưa ra cảnh báo song song về an ninh miền.
Tính chất phối hợp của các cảnh báo cho thấy rằng kẻ tấn công có thể đã có mục tiêu hệ thống nhằm nhắm vào cơ sở hạ tầng của Box Domains để xâm phạm nhiều nền tảng DeFi cùng một lúc.
Người dùng Báo cáo các nỗ lực làm cạn kiệt tài sản đa dạng một cách quyết liệt
Một người dùng bị ảnh hưởng đã mô tả việc gặp phải giao diện độc hại trước khi các cảnh báo chính thức được phát đi, chi tiết cách mà trang web bị xâm phạm đã triển khai một cuộc tấn công hai giai đoạn lừa đảo.
Giao diện bị chiếm đoạt đầu tiên yêu cầu một chữ ký dường như vô hại chỉ chứa số “1,” thiết lập kết nối ví ban đầu.
Ngay sau yêu cầu dường như vô hại này, giao diện đã kích hoạt một số lượng phê duyệt không giới hạn cho NFTs, ETH, USDC và WETH.
“Nó yêu cầu một chữ ký đơn giản, sau đó ngay lập tức cố gắng phê duyệt không giới hạn để làm cạn kiệt NFTs, ETH và USDC,” người dùng báo cáo. “Nếu bạn không chú ý, bạn có thể đã mất tất cả.”
Nạn nhân đã ghi lại cuộc tấn công qua các ảnh chụp màn hình và video, ghi lại quá trình từ yêu cầu chữ ký ban đầu đến nhiều lần cố gắng làm cạn kiệt.
Cuộc điều tra của họ, được thực hiện với sự hỗ trợ của AI, đã xem xét cấu hình trình duyệt, tiện ích mở rộng, cài đặt DNS và điểm cuối RPC trước khi kết luận rằng mẫu tấn công phù hợp với phương pháp chiếm đoạt DNS.
Một thành viên cộng đồng khác đã chia sẻ một trải nghiệm với một sự cố làm cạn kiệt riêng biệt gần đây, mô tả bản thân là một cựu chiến binh dày dạn kinh nghiệm và nhà phát triển full-stack vẫn trở thành nạn nhân của các cuộc tấn công tinh vi.
Mặc dù có chuyên môn kỹ thuật, người dùng đã mất một khoản tiền đáng kể và đã dành 3 ngày để phát triển một kịch bản dựa trên gói Jito nhằm khôi phục khoảng 10-15% tài sản bị đánh cắp thông qua các hoạt động bí mật trên chuỗi.
Nhà báo Crypto
Anas Hassan
