March 28, 2024

Хакеры атаковали DNS-серверы DeFi-проектов из числа клиентов Namecheap

Хакеры атаковали DNS-серверы DeFi-проектов из числа клиентов Namecheap

С 23 июня ряд DeFi-проектов, включая Convex Finance, Allbridge, Ribbon Finance и DeFi Saver, столкнулся с атаками на DNS-серверы. Все они пользовались услугами регистратора доменных имен Namecheap.

24 июня команда Convex Finance сообщила, что злоумышленники захватили управление DNS-сервером проекта, чтобы предложить пользователям одобрить вредоносные смарт-контракты. 

В DeFi Saver заявили, что 23 июня столкнулись «с попыткой DNS-атаки». По информации разработчиков, никто из пользователей не пострадал — атаку оперативно вычислили и предприняли необходимые меры.

Команда Ribbon Finance также сообщила о DNS-атаке на сервер app.ribbon.finance. Разработчики заявили, что закрыли уязвимость, однако в ходе инцидента два пользователя одобрили вредоносные смарт-контракты. 

Аналитики платформы MistTrack отметили, что одна из жертв потеряла 16,5 WBTC (~$350 840 по курсу на момент написания). 

Разработчики Allbridge обнаружили, что в некоторых случаях смарт-контракт приложения спрашивал повторное одобрение для совместимых с EVM сетей, даже если оно уже было предоставлено ранее. 

Расследование показало, что злоумышленники получили доступ к DNS-записям кроссчейн-моста и для некоторых пользователей выпустили еще один запрос на одобрение, заменив адрес смарт-контракта Allbridge, на который ведет интерфейс, на вредоносный.

В разговоре с ForkLog сооснователь Allbridge Андрей Великий подчеркнул, что смарт-контракты не были скомпрометированы, а средства пользователей на данный момент находятся в безопасности. 

Команда устранила проблему с DNS — проект переключился на провайдера Cloudflare и внедрил дополнительные протоколы безопасности. Затронутых пользователей уведомили о необходимости отозвать одобрения. 

По словам Великого, аккаунт проекта в Namecheap был защищен двухфакторной аутентификацией. Когда разработчики обратились в компанию, она заблокировала личный кабинет Allbridge, но отказалась предоставить данные, которые могли бы помочь разобраться в инциденте.

Специалист также рассказал, что со схожей DNS-атакой столкнулись около 23 криптовалютных проектов. Он отметил, что среди них единственным общим знаменателям является Namecheap, и добавил, что группа пострадавших рассматривает возможность подачи иска к провайдеру. 

ForkLog отправил Namecheap запрос на комментарий и обновит материал, когда получит ответ.

24 июня 2022 | 16:38Апдейт:

CEO Namecheap Ричард Киркендалл написал в Twitter, что компания выявила «скомпроментированного агента» и удалила доступы.

Напомним, 24 июня хакер похитил около $100 млн в ходе атаки на кроссчейн-мост Horizon протокола Harmony.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.