Conclusiones clave
- Blockaid identificó un ataque de DNS dirigido a aplicaciones DeFi alojadas en Squarespace.
- MetaMask advierte activamente a los usuarios sobre aplicaciones DeFi comprometidas.
Comparte este artículo
La empresa de seguridad Blockchain, Blockaid, advirtió sobre un incidente de secuestro de dominio posiblemente generalizado que afecta a Compound, Celer Network y potencialmente a otros 120 protocolos. De acuerdo con la informehoy, 11 de julio, se detectó un nuevo ataque frontal, precedido por un ataque inicialmente benigno del 6 de julio.
Este desarrollo sigue a un informe de Crypto Briefing de hoy sobre la confirmación de Compound Labs de que el front-end de su sitio web, compuesto[.]las finanzas estaban comprometidas. Blockaid señala que el atacante también intentó comprometer Celer Network después de obtener el control del DNS de Compound.
El ataque se detectó por primera vez cuando los usuarios notaron la interfaz de Compound en el complejo.[.]Finance redirecciona a un sitio web malicioso que contiene una aplicación de drenaje de tokens. Celer Network también confirmó una intento de adquisición de su dominio, que se vio frustrado por su sistema de seguimiento.
La investigación de Blockaid sugiere que el atacante está apuntando específicamente a nombres de dominio proporcionados por Squarespace, lo que podría poner en riesgo cualquier aplicación DeFi que utilice un dominio de Squarespace.
“Según la evaluación inicial, parece que los atacantes están operando secuestrando registros DNS de proyectos alojados en SquareSpace”, la firma de seguridad. indicado en X.
0xngmi, desarrollador de la plataforma de análisis blockchain DefiLlama, compartió un lista de 126 protocolos DeFi que puedan verse afectados por este ataque. La lista incluye proyectos destacados como Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum y MantaDAO, entre otros.
En respuesta a la amenaza, la billetera Web3 MetaMask Anunciado está trabajando para advertir a los usuarios sobre aplicaciones potencialmente comprometidas asociadas con el ataque. “Para aquellos de ustedes que usan MetaMask, verán una advertencia proporcionada por @blockaid_ si intentan realizar transacciones en cualquier sitio conocido que esté involucrado en este ataque actual”, afirmó la compañía.
Este incidente de secuestro de nombres de dominio es el último de una serie de ataques dirigidos al sector DeFi. En diciembre, en un ataque similar se inyectó código malicioso en la biblioteca Ledger Connect, lo que afectó a una gran parte del ecosistema de la máquina virtual Ethereum.
Posibles métodos de explotación
El posible ataque DNS a más de 120 protocolos DeFi ha generado especulaciones sobre los posibles métodos de explotación empleados.
Según un investigador de seguridad en contacto directo con este autor, los métodos posibles podrían variar desde tácticas sofisticadas de prerregistro, en las que los actores de amenazas pueden haber registrado dominios antes de que se completaran las transferencias de Google a Squarespace, hasta registros masivos de dominios potencialmente mixtos. con dominios legítimos de Squarespace.
El investigador, que respondió a consultas bajo condición de anonimato, señaló que esta serie de incidentes también podrían haber sido ejecutados a través del envenenamiento de la caché DNS, más comúnmente conocido como DNS spoofing, un método en el que se inyectan datos falsos en una caché DNS, lo que resulta en a consultas DNS que devuelven una respuesta incorrecta, dirigiendo a los usuarios a sitios web incorrectos y posiblemente maliciosos.
Según las conversaciones de este autor con el investigador de seguridad, teorías más alarmantes sugieren una violación directa de la seguridad de Squarespace, lo que podría permitir a los atacantes manipular registros DNS directamente desde la fuente.
Si bien un período típico de bloqueo de transferencia de dominio hace que algunos vectores de ataque sean menos probables, el impacto de amplio alcance sugiere una vulnerabilidad sistémica. Para contextualizar, Squarespace anunció que había completó la adquisición del negocio de dominios de Google el 7 de septiembre de 2023.
Es fundamental tener en cuenta que se trata de teorías especulativas, no de hechos confirmados sobre el método de ataque. El exploit probablemente aprovechó una combinación de tácticas o una vulnerabilidad aún no revelada en el sistema de gestión de dominios.
Esta historia se está desarrollando y se actualizará. Crypto Briefing se ha puesto en contacto con Squarespace para solicitar comentarios.
Comparte este artículo