С 23 июня ряд DeFi-проектов, включая Convex Finance, Allbridge, Ribbon Finance и DeFi Saver, столкнулся с атаками на DNS-серверы. Все они пользовались услугами регистратора доменных имен Namecheap.
24 июня команда Convex Finance сообщила, что злоумышленники захватили управление DNS-сервером проекта, чтобы предложить пользователям одобрить вредоносные смарт-контракты.
В DeFi Saver заявили, что 23 июня столкнулись «с попыткой DNS-атаки». По информации разработчиков, никто из пользователей не пострадал — атаку оперативно вычислили и предприняли необходимые меры.
Команда Ribbon Finance также сообщила о DNS-атаке на сервер app.ribbon.finance. Разработчики заявили, что закрыли уязвимость, однако в ходе инцидента два пользователя одобрили вредоносные смарт-контракты.
Аналитики платформы MistTrack отметили, что одна из жертв потеряла 16,5 WBTC (~$350 840 по курсу на момент написания).
Разработчики Allbridge обнаружили, что в некоторых случаях смарт-контракт приложения спрашивал повторное одобрение для совместимых с EVM сетей, даже если оно уже было предоставлено ранее.
Расследование показало, что злоумышленники получили доступ к DNS-записям кроссчейн-моста и для некоторых пользователей выпустили еще один запрос на одобрение, заменив адрес смарт-контракта Allbridge, на который ведет интерфейс, на вредоносный.
В разговоре с ForkLog сооснователь Allbridge Андрей Великий подчеркнул, что смарт-контракты не были скомпрометированы, а средства пользователей на данный момент находятся в безопасности.
Команда устранила проблему с DNS — проект переключился на провайдера Cloudflare и внедрил дополнительные протоколы безопасности. Затронутых пользователей уведомили о необходимости отозвать одобрения.
По словам Великого, аккаунт проекта в Namecheap был защищен двухфакторной аутентификацией. Когда разработчики обратились в компанию, она заблокировала личный кабинет Allbridge, но отказалась предоставить данные, которые могли бы помочь разобраться в инциденте.
Специалист также рассказал, что со схожей DNS-атакой столкнулись около 23 криптовалютных проектов. Он отметил, что среди них единственным общим знаменателям является Namecheap, и добавил, что группа пострадавших рассматривает возможность подачи иска к провайдеру.
ForkLog отправил Namecheap запрос на комментарий и обновит материал, когда получит ответ.
24 июня 2022 | 16:38Апдейт:
CEO Namecheap Ричард Киркендалл написал в Twitter, что компания выявила «скомпроментированного агента» и удалила доступы.
Напомним, 24 июня хакер похитил около $100 млн в ходе атаки на кроссчейн-мост Horizon протокола Harmony.
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.