Compound, атака Celer могла бути спричинена несправною системою міграції — експерти DNS

На думку кількох експертів DNS, 11 липня атака на систему доменних імен (DNS) проти кількох протоколів Web3 могла бути спричинена несправною системою міграції Google Domains на Squarespace. На думку деяких експертів, токенізовані веб-домени значно зменшать ризик виникнення таких типів атак у майбутньому.

11 липня численні протоколи Web3 стали мішенню широкомасштабної атаки викрадення DNS. Дослідник блокчейну ZachXBT виявив, що веб-сайт Compound finance перенаправляв на шкідливий фішинговий сайт, призначений для викрадення токенів користувачів. Пізніше того ж дня Celer Network оголосила, що її веб-сайт став мішенню, хоча в цьому випадку атаку було виявлено та заблоковано.

Фірма безпеки блокчейну Blockaid повідомила, що атака, схоже, була пов’язана з «проектами, розміщеними на Squarespace», маючи на увазі, що вразливість може мати коріння в системі реєстрації доменів Squarespace.

У розмові з Cointelegraph 12 липня Метт Гулд, засновник протоколу токенізованих доменів Unstoppable Domains, припустив, що атака могла бути спричинена міграцією користувачів із Google Domains на Squarespace, що могло дозволити цим користувачам стати жертвами фішингових атак.. Гулд заявив:

«Зараз, якщо ви є клієнтом Google Domains і вам потрібно перейти на Squarespace, вам потрібно створити новий обліковий запис. Тож ви справді легка та небезпечна мішень для тих, хто проводить фішингову кампанію. Вони можуть сказати: «Привіт, тобі потрібно створити новий обліковий запис Squarespace». Ви ще цього не зробили. Ваш час закінчується. Натисніть це посилання.

У дописі для X Віктор Чжоу, засновник протоколу токенізованого домену Namefi, висловив подібну думку. «[Підозрювалось] […] що причиною, ймовірно, є те, що ці проекти були зареєстровані Google Domains. Коли кілька місяців тому @Google продав свій доменний бізнес @SquareSpace, міграція включала примусове припинення багатофакторної автентифікації, і зловмисники змогли скомпрометувати його, використовуючи лише пароль».

У звіті фірми з кібербезпеки Security Alliance також звинуватили в зломі неправильний процес міграції. Згідно з ним, «найімовірніше пояснення» або «найсильніша теорія» полягає в тому, що Squarespace автоматично призначила відповідні домени електронним адресам Google, пов’язаним з їхніми власниками.

Це дозволило користувачам отримати доступ до своїх доменів одразу після створення облікового запису на Squarespace. Однак, оскільки Squarespace не вимагає підтвердження електронної пошти для нових облікових записів, створених за допомогою пароля, зловмисник може увійти, використовуючи лише електронну адресу власника Google Domains. Security Alliance припустив, що ця помилка могла статися через те, що адміністратори Squarespace припустили, що користувачі створюватимуть свої облікові записи за допомогою логіну Google.

У звіті зазначено:

«Грунтуючись на всіх даних, які ми маємо, ми вважаємо, що найбільш вірогідним поясненням того, що сталося, є те, що Squarespace припускала, що всі користувачі, які переходять із Google Domains, використовуватимуть метод входу «Продовжити з Google». […] Squarespace ніколи не враховувала можливістьщо зловмисник може зареєструвати обліковий запис за допомогою електронної адреси, пов’язаної з нещодавно переміщеним доменом[.]”

Cointelegraph звернувся до Squarespace, щоб отримати коментарі, але не отримав відповіді до публікації.

Гулд припустив, що такому типу атак можна запобігти в майбутньому, якщо протоколи Web3 токенізують свої домени та утримують їх у мережі блокчейн.

«Якщо ми можемо об’єднати домени, тоді, коли вам потрібно оновити налаштування DNS, ви можете попросити клієнта підписати повідомлення своїм ключем», — заявив він. «І якщо ви введете туди додатковий рівень безпеки, […] тоді хтось не зможе здійснити фішинг вашого облікового запису […], оскільки їм доведеться скомпрометувати не лише ваш обліковий запис Squarespace, але йтакож скомпрометувати ваш гаманець, ваш ключ».

За словами Гулда, для додаткового захисту користувач може застосувати вимогу до мультипідпису два з трьох, коли принаймні два члени команди повинні підписати транзакцію для зміни налаштувань DNS.

Іншим більш радикальним варіантом було б розміщення самого веб-реєстратора в мережі. У цьому випадку міграції більше не будуть потрібні. Зміна постачальника буде схожа на перехід від одного продавця до іншого. «Якби всі записи були в ланцюжку і їм потрібно було б оновити реєстратор, їм не потрібно було б просити користувачів створювати нові облікові записи», — заявив він.

За темою: Pudgy Penguins надає доступ до свого віртуального світу за допомогою Unstoppable Domains

Чжоу також заявив, що токенізовані домени допоможуть запобігти таким видам атак. «Токенізовані доменні імена надають можливість увімкнути розширені заходи безпеки на основі програмованого права власності», — заявив він. Вони «можуть увімкнути Threshold Signature Signing, тобто кілька користувачів можуть спільно контролювати домен».

На відміну від немаркованих доменів, «де вашу MFA [багатофакторну автентифікацію] можна вимкнути», токенізовані домени або домени на основі блокчейну «гарантують, що MFA контролюється власником домену, а не посередником, таким як SquareSpace». І вони можуть дозволити «механізм соціального відновлення», якщо власник домену втратить свій закритий ключ, заявив Чжоу.

На думку Чжоу, токенізовані домени «забезпечують набагато кращу основу для розширених заходів безпеки», ніж звичні власникам доменів поточної централізованої системи.

Незважаючи на ці потенційні покращення безпеки, Нік Джонсон, засновник протоколу токенізованого домену Ethereum Name Service (ENS), попередив, що системи реєстру на основі блокчейну не є срібною кулею, яка вирішить усі проблеми безпеки. «Звичайно, токенізовані домени можуть спростити захист від […] ризиків для кінцевих користувачів», — сказав Джонсон Cointelegraph 22 липня.усю безпеку, яка застосовується до вашого облікового запису Ethereum за цим».

Однак він попередив, що «вона не може захистити від проблем, які виникають від постачальника, наприклад від злому Squarespace, тому що можливість скомпрометувати постачальника означає, що ви потенційно можете обійти всі ці обмеження».

Хоча токенізація доменів «приносить багато переваг», сказав Джонсон, «я не думаю, що це за своєю суттю робить речі більш безпечними». Кращий спосіб отримати безпеку — бути «надзвичайно обережним щодо того, кому ви довіряєте коштовності вашої організації».

Джонсон стверджував, що більшість провайдерів токенізованих доменів, «імовірно, приділяють більше уваги безпеці, ніж у середньому», і це може пояснити сприйняття, що вони більш безпечні. Але це не «автоматично робить їх більш безпечними».

За словами Джонсона, головна перевага токенізації доменів полягає в тому, що вона дозволяє власникам доменів легко реєструвати імена користувачів Ethereum. Наприклад, через партнерство ENS із GoDaddy власники доменів GoDaddy можуть створювати імена користувачів Ethereum через ENS, і для цього вони «просто встановлюють прапорець і вводять адресу, на яку має розташовуватися ваше ім’я, і готово. »

Відповідно до довідкової сторінки GoDaddy з цієї теми, головною перевагою для власника веб-сайту мати ім’я користувача Ethereum є те, що воно дозволяє їм отримувати платежі на своє доменне ім’я. В іншому випадку їм доведеться роздавати адресу Ethereum кожному користувачеві, який хоче надіслати їм криптовалюту.

DNS-атаки продовжують загрожувати користувачам криптовалюти.23 липня, лише через 12 днів після атак на Compound і Celer, зловмисник зламав інтерфейс користувача v3 криптовалютної біржі dYdX. У цьому випадку зловмисник впровадив шкідливу програму для викачування криптовалюти безпосередньо у функцію підключення гаманця біржі.