Кілька додатків децентралізованого фінансування (DeFi) стали мішенню атаки на реєстр доменів 11 липня, згідно з дописом X на платформі безпеки блокчейну Blockaid. Зловмисник взяв під контроль DNS-реєстр для Compound Finance і спробував, але не зміг отримати контроль над реєстром Celer Network.
Після попереднього розслідування Blockaid дійшов висновку, що зловмисник націлений на доменні імена, надані Squarespace, потенційно піддаючи ризику будь-який додаток DeFi з доменом Squarespace.
Дослідники з питань безпеки вперше дізналися про атаку, коли інтерфейс Compound на complex.finance почав переспрямовувати на шкідливий веб-сайт. Шкідливий сайт був оснащений програмою-зливником, яка намагалася викрасти токени користувачів.
За темою: Сайт Compound Finance потенційно зламано — ZachXBT
О 13:38 UTC на нього було здійснено напад. Однак у цьому випадку Celer заявив, що його система моніторингу домену виявила захоплення та перехопила його, перш ніж воно встигло вдатися.
О 15:38 UTC Blockaid оголосив, що «кілька інтерфейсів DeFi знаходяться під загрозою викрадення, з кількома інцидентами, які вже відбулися [.]» Через кілька хвилин охоронна фірма заявила, що вважає ці атаки корінням у Squarespace.реєстр доменних імен. «З початкової оцінки, схоже, що зловмисники викрадення DNS-записів проектів, розміщених на SquareSpace», — йдеться в повідомленні.
0xngmi, розробник платформи блокчейн-аналітики DefiLlama, опублікував список доменів, які можуть постраждати від атаки. Список включає понад 100 протоколів DeFi, включаючи Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, LooksRare та багато інших.
Гаманець Web3 MetaMask оголосив, що намагається попередити користувачів про ймовірно скомпрометовані програми, пов’язані з атакою. «Ті з вас, хто використовує MetaMask, побачать попередження від @blockaid_, якщо ви спробуєте здійснити транзакцію на будь-якому відомому сайті, який залучений до цієї поточної атаки», — йдеться в повідомленні.
Викрадення доменного імені є однією з кількох атак на індустрію Web3 за останній рік. У грудні зловмисник впровадив шкідливий код у Library Ledger Connect, яку більшість програм Web3 використовують для підключення до гаманця, вплинувши майже на всю екосистему віртуальної машини Ethereum.
