Согласно X-посту платформы безопасности блокчейна Blockaid, 11 июля несколько приложений децентрализованного финансирования (DeFi) подверглись атаке на реестр доменов. Злоумышленник взял под свой контроль реестр DNS Compound Finance и попытался, но безуспешно, получить контроль над реестром Celer Network.
После предварительного расследования Blockaid пришла к выводу, что злоумышленник нацелен на доменные имена, предоставленные Squarespace, потенциально подвергая риску любое приложение DeFi с доменом Squarespace.
Исследователи безопасности впервые узнали об атаке, когда интерфейс Compound на сайте complex.finance начал перенаправляться на вредоносный веб-сайт. Вредоносный сайт был оснащен вредоносным приложением, которое пыталось украсть токены пользователей.
Связанный: Сайт Compound Finance потенциально взломан — ZachXBT
В 13:38 по всемирному координированному времени произошло нападение. Однако в данном случае Celer заявила, что ее система мониторинга домена обнаружила поглощение и перехватила его до того, как оно смогло добиться успеха.
В 15:38 по всемирному координированному времени Blockaid объявила, что «несколько интерфейсов DeFi подвергаются риску взлома, при этом несколько инцидентов уже имели место [.]». Несколько минут спустя охранная фирма заявила, что, по ее мнению, корни этих атак лежат в сети Squarespace.реестр доменных имен. «Судя по первоначальной оценке, похоже, что злоумышленники перехватывают DNS-записи проектов, размещенных на SquareSpace», — говорится в сообщении.
0xngmi, разработчик аналитической платформы блокчейна DefiLlama, опубликовал список доменов, которые могут быть затронуты атакой. Список включает более 100 протоколов DeFi, включая Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, LooksRare и многие другие.
Кошелек Web3 MetaMask объявил, что пытается предупредить пользователей о возможно скомпрометированных приложениях, связанных с атакой. «Те из вас, кто использует MetaMask, увидят предупреждение @blockaid_, если вы попытаетесь совершить транзакцию на любом известном сайте, который участвует в этой текущей атаке», — говорится в сообщении.
Взлом доменных имен — одна из нескольких атак на индустрию Web3 за последний год. В декабре злоумышленник внедрил вредоносный код в Ledger Connect Library, которую большинство приложений Web3 используют для подключения к кошельку, что затронуло почти всю экосистему виртуальных машин Ethereum.
