Атака Compound, Celer могла быть вызвана неисправной системой миграции — эксперты DNS

По мнению нескольких экспертов DNS, атака системы доменных имен (DNS) 11 июля на несколько протоколов Web3 могла быть допущена из-за неисправной системы миграции Google Domains в Squarespace. По мнению некоторых экспертов, токенизированные веб-домены значительно снизят риск подобных атак в будущем.

11 июля несколько протоколов Web3 подверглись широкомасштабной атаке с перехватом DNS. Исследователь блокчейна ZachXBT обнаружил, что веб-сайт Compound Finance перенаправлялся на вредоносный фишинговый сайт, предназначенный для кражи токенов пользователей. Позже в тот же день Celer Network объявила, что ее веб-сайт подвергся нападению, хотя в данном случае атака была обнаружена и заблокирована.

Компания Blockaid, занимающаяся безопасностью блокчейн, сообщила, что атака, по-видимому, связана с «проектами, размещенными на Squarespace», подразумевая, что уязвимость может иметь корни в системе регистрации доменов Squarespace.

В разговоре с Cointelegraph 12 июля Мэтт Гулд, основатель протокола токенизированных доменов Unstoppable Domains, предположил, что атака могла быть вызвана миграцией пользователей из Google Domains в Squarespace, что могло позволить этим пользователям стать жертвами фишинговых атак.. Гулд заявил:

«Прямо сейчас, если вы являетесь клиентом Google Domains и вам нужно перейти на Squarespace, вам необходимо создать новую учетную запись. Так что вы действительно легкая и легкая мишень для тех, кто проводит фишинговую кампанию. Они могут сказать: «Эй, тебе нужно создать новую учетную запись Squarespace». Вы еще этого не сделали. Ваше время истекает. Нажмите на эту ссылку».

В сообщении для X Виктор Чжоу, основатель протокола токенизированных доменов Namefi, выразил аналогичную точку зрения. «Было подозрение, что причина, скорее всего, в том, что эти проекты были зарегистрированы Google Domains. Когда несколько месяцев назад @Google продала свой доменный бизнес компании @SquareSpace, миграция включала принудительное прекращение многофакторной аутентификации, и злоумышленники смогли скомпрометировать ее с помощью простого пароля».

В отчете компании по кибербезопасности Security Alliance также говорится, что во взломе виноват ошибочный процесс миграции. Согласно ему, «наиболее вероятное объяснение» или «самая убедительная теория» заключается в том, что Squarespace автоматически присваивает соответствующие домены адресам электронной почты Google, связанным с их владельцами.

Это позволило пользователям получить доступ к своим доменам сразу после создания учетной записи на Squarespace. Однако, поскольку Squarespace не требует подтверждения электронной почты для новых учетных записей, созданных с паролем, злоумышленник может войти в систему, используя только адрес электронной почты владельца Google Domains. Security Alliance предположил, что эта ошибка могла произойти потому, что администраторы Squarespace предполагали, что пользователи будут создавать свои учетные записи, используя логин Google.

В отчете говорилось:

«Основываясь на всех имеющихся у нас данных, мы считаем, что наиболее вероятным объяснением произошедшего является то, что Squarespace предполагала, что все пользователи, мигрирующие с Google Domains, будут использовать метод входа в систему «Продолжить с Google», […] Squarespace никогда не учитывала такую ​​возможность».что злоумышленник может зарегистрировать учетную запись, используя адрес электронной почты, связанный с недавно перенесенным доменом[.]»

Коинтелеграф связался с Squarespace для получения комментариев, но не получил ответа до публикации.

Гулд предположил, что этот тип атаки можно было бы предотвратить в будущем, если бы протоколы Web3 токенизировали свои домены и держали их в сети блокчейн.

«Если мы сможем объединить домены в цепочку, тогда, когда вам понадобится обновить настройки DNS, вы сможете попросить клиента подписать сообщение своим ключом», — заявил он. «И если вы добавите туда этот дополнительный уровень безопасности, […] тогда кто-то не сможет взломать вашу учетную запись […], потому что им придется скомпрометировать не только вашу учетную запись Squarespace, но итакже скомпрометировать ваш кошелек, ваш ключ».

По словам Гулда, для дополнительной защиты пользователь может реализовать требование мультиподписи «две из трех», при котором как минимум два члена команды должны подписать транзакцию для изменения настроек DNS.

Другим, более радикальным вариантом, было бы размещение самого веб-регистратора в цепочке. В этом случае миграция отпадет. Смена провайдера будет похожа на переход от одного продавца к другому. «Если бы все записи были в сети и им нужно было обновить регистратор, им не пришлось бы просить всех пользователей создавать новые учетные записи», — заявил он.

Связанный: Pudgy Penguins обеспечивает доступ к своему виртуальному миру с помощью Unstoppable Domains

Чжоу также заявил, что токенизированные домены помогут предотвратить подобные атаки. «Токенизированные доменные имена дают возможность реализовать расширенные меры безопасности на основе их программируемого владения», — заявил он. Они «могут включить пороговую подпись, что означает, что несколько пользователей могут вместе управлять доменом».

В отличие от нетокенизированных доменов, «где ваша MFA [многофакторная аутентификация] может быть отключена», токенизированные домены или домены на основе блокчейна «гарантируют, что MFA контролируется владельцем домена, а не посредником, таким как SquareSpace». И они могут предусмотреть «механизм социального восстановления» на случай, если владелец домена потеряет свой закрытый ключ, заявил Чжоу.

По мнению Чжоу, токенизированные домены «обеспечивают гораздо лучшую основу для расширенных мер безопасности», чем те, с которыми знакомы нынешние владельцы доменов централизованной системы.

Несмотря на эти потенциальные улучшения безопасности, Ник Джонсон, основатель токенизированного доменного протокола Ethereum Name Service (ENS), предупредил, что системы реестра на основе блокчейна не являются панацеей, которая решит все проблемы безопасности. «Конечно, токенизированные домены могут облегчить защиту от […] конечных рисков пользователей», — сказал Джонсон Cointelegraph 22 июля. «Токенизация вашего имени, чтобы оно контролировалось, например, учетной записью Ethereum, означает, что вы можетевсю безопасность, которая применяется к вашей учетной записи Ethereum, стоящей за ней».

Однако он предупредил, что «чего он не может сделать, так это защитить от проблем, исходящих от провайдера, таких как взлом Squarespace, поскольку возможность скомпрометировать провайдера означает, что вы потенциально можете обойти все эти ограничения».

Хотя токенизация доменов «приносит много преимуществ», Джонсон заявил: «Я не думаю, что это само по себе делает ситуацию более безопасной». Лучший способ обеспечить безопасность — быть «чрезвычайно осторожным с тем, кому вы доверяете драгоценности своей организации».

Джонсон заявил, что большинство провайдеров токенизированных доменов «вероятно, по своей сути уделяют безопасности немного больше внимания, чем в среднем», и это может объяснить восприятие того, что они более безопасны. Но это не «автоматически делает их более безопасными».

По словам Джонсона, основным преимуществом токенизации доменов является то, что они позволяют владельцам доменов легко регистрировать имена пользователей Ethereum. Например, благодаря партнерству ENS с GoDaddy владельцы доменов GoDaddy могут создавать имена пользователей Ethereum через ENS, и для этого они «просто устанавливают флажок и вводят адрес, которому вы хотите, чтобы ваше имя соответствовало, и все готово. »

Согласно странице справки GoDaddy по этой теме, основным преимуществом имени пользователя Ethereum для владельца веб-сайта является то, что оно позволяет им получать платежи на свое доменное имя. В противном случае им пришлось бы раздавать адрес Ethereum каждому пользователю, который хотел бы отправить им криптовалюту.

DNS-атаки продолжают угрожать пользователям криптовалюты.23 июля, всего через 12 дней после атак на Compound и Celer, криптовалютная биржа dYdX также увидела, что ее пользовательский интерфейс v3 был захвачен злоумышленником. В этом случае злоумышленник внедрил вредоносное приложение для сбора криптовалюты непосредственно в функцию подключения кошелька биржи.