Blockaid: Serangan Registri Domain Canggih Menargetkan Beberapa Aplikasi DeFi

Pada 11 Juli, serangan registri domain yang canggih berhasil mengkompromikan beberapa aplikasi keuangan terdesentralisasi (DeFi), mengarahkan pengguna ke situs web berbahaya. Beberapa protokol telah mengeluarkan peringatan kepada penggunanya mengenai serangan ini.

Platform keamanan blockchain Blockaid mengidentifikasi bahwa pelaku mengeksploitasi nama domain yang disediakan oleh Squarespace, layanan pembuatan situs web yang populer. Pelanggaran ini mempengaruhi protokol DeFi terkenal, termasuk Compound Finance, dan berpotensi membahayakan banyak aplikasi lain dalam ekosistem tersebut.

Para penyerang memanipulasi entri sistem nama domain (DNS), secara efektif mencegat pengguna yang mencoba mengakses platform DeFi yang sah dan mengarahkan mereka ke situs phishing yang dirancang untuk mencuri informasi sensitif dan dana.

Penemuan Awal dan Lingkup Serangan Registri Domain pada Beberapa Protokol DeFi

From initial assessment, it appears that the attackers are operating by hijacking DNS records of projects hosted on SquareSpace.

For instance, here’s the DNS history of compound.finanace – we can see that earlier today, the DNS was hijacked to point to a new IP address: pic.twitter.com/y7iSBw1aAJ

— Blockaid (@blockaid_) July 11, 2024

Serangan ini pertama kali terdeteksi ketika pengguna yang mencoba mengakses antarmuka Compound Finance di compound.finance dialihkan ke situs web berbahaya. Situs penipuan ini berisi aplikasi drainer yang dirancang untuk mencuri token pengguna.

Secara bersamaan, domain Celer Network juga menjadi target, tetapi sistem pemantauannya berhasil mencegat upaya pengambilalihan sebelum berhasil.

Pada pukul 1:38 siang UTC, Celer Network memperingatkan komunitas crypto tentang serangan DNS tersebut.

✅Thanks to our 24/7 domain security monitoring, an attempted takeover of Celer domains was successfully intercepted. All DNS records have been recovered. Our ongoing investigation indicates that the attack vector likely involved third parties beyond our control.

👁️The Celer…

— CelerNetwork (@CelerNetwork) July 11, 2024

Pada pukul 3:38 siang UTC, Blockaid mengonfirmasi bahwa beberapa antarmuka depan DeFi berisiko dibajak, mengaitkan serangan ini dengan catatan DNS yang dikompromikan pada proyek yang dihosting Squarespace.

Insiden ini memicu diskusi tentang kerentanan aplikasi DeFi yang bergantung pada infrastruktur Web2.

⚠️ Developing situation – Multiple DeFi front ends are at risk of hijacking, with a few incidents already taking place, with projects like @compoundfinance and @CelerNetwork getting hacked over the past 24 hours.

We will update this thread with details as we go. pic.twitter.com/iWQR0ByIgB

— Blockaid (@blockaid_) July 11, 2024

Para ahli keamanan telah mengidentifikasi vektor serangan ini kemungkinan berasal dari akun domain Google yang digunakan oleh protokol-protokol tersebut.

Squarespace mengakuisisi Google Domains dalam kesepakatan senilai $180 juta, sehingga semua situs web terkait kini berada di bawah pengawasan.

Selanjutnya, 0xngmi, pengembang di balik DefiLlama, menerbitkan daftar lebih dari 100 protokol DeFi yang berpotensi terpengaruh, termasuk nama-nama terkenal seperti Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Polymarket, Satoshi Protocol, Nirvana, dan LooksRare.

Selain Compound dan Celer yang telah diretas, protokol lain yang terkait kini menghadapi pengawasan ketat saat pengguna dan pengembang berusaha mengamankan platform mereka.

compiled a (partial) list of domains connected to square space that would be at risk of being hacked rn, i'd avoid them for nowhttps://t.co/Cih5YTgFL9

— 0xngmi (@0xngmi) July 11, 2024

Merespons daftar 0xngmi, Pendle Finance mengonfirmasi pelanggaran tersebut dan baru-baru ini mengonfirmasi bahwa mereka telah menurunkan halaman mereka. Protokol yield ini memperingatkan penggunanya untuk tidak menggunakan aplikasi tersebut dan memastikan bahwa dana mereka aman.

Konfirmasi Serangan oleh Protokol DeFi yang Terpengaruh, Tidak Ada Dana yang Dicuri

Pembajakan nama domain merupakan salah satu dari beberapa vektor serangan yang mengancam industri Web3.

Compound Finance dan Celer Network telah mengeluarkan pernyataan yang mengakui serangan DNS ini.

🚨 URGENT: The Compound Labs website (compound[.]finance) has been compromised.

Please do not visit the website or clink any links until further notice. An update will be provided when available.

This is our final message // end of tweet. 🚨

— Compound Labs (@compoundfinance) July 11, 2024

Compound Finance mengonfirmasi bahwa domain mereka telah dikompromikan, mengarahkan pengguna ke situs berbahaya.

Namun, Celer Network berhasil mendeteksi dan mencegat serangan sebelum ada kerugian yang terjadi.

Meskipun telah mengambil tindakan proaktif, kedua platform tersebut terus menyelidiki sejauh mana serangan ini.

MetaMask, penyedia dompet Web3 terkemuka, merespons dengan menerapkan peringatan bagi pengguna yang mencoba bertransaksi di situs yang dikompromikan.

For those of you using MetaMask, you’ll see a warning provided by @blockaid_ if you attempt to transact on any known site that’s involved in this current attack. #mmsecurity https://t.co/Fk0sAjaeit

— MetaMask 🦊🫰 (@MetaMask) July 11, 2024

Tindakan proaktif ini bertujuan untuk mengurangi risiko pencurian token dengan memperingatkan pengguna terhadap potensi bahaya.

Pengguna diimbau untuk menghindari berinteraksi dengan aplikasi DeFi yang dihosting di domain Squarespace hingga pemberitahuan lebih lanjut untuk mencegah potensi pencurian token.

Seiring penyelidikan yang berlanjut, Celer Network dan Compound Finance belum mengonfirmasi mitigasi ancaman sepenuhnya.

Meskipun belum ada dana yang dilaporkan dicuri sejauh ini, pengguna diimbau untuk berhati-hati dan menghindari berinteraksi dengan aplikasi DeFi hingga pemberitahuan lebih lanjut.

Serangan saat ini pada aplikasi DeFi melalui kerentanan DNS mengungkapkan kebutuhan mendesak untuk langkah-langkah keamanan yang kuat dalam ruang Web3.

Inisiatif seperti bot Telegram SEAL 911 dan dewan keamanan yang terdiri dari para pemimpin industri, termasuk Coinbase, disarankan sebagai langkah menuju membangun ekosistem crypto yang lebih aman.

Pada bulan Desember, seorang penyerang mengkompromikan perpustakaan Ledger Connect dengan menyuntikkan kode berbahaya, yang mempengaruhi hampir seluruh ekosistem Ethereum Virtual Machine.

Insiden serupa, seperti serangan antarmuka depan pada Balance dan eksploitasi senilai $70 juta yang melibatkan Curve Finance, menggambarkan sifat ancaman ini yang terus berkembang.

Jika Anda tertarik dengan perkembangan terbaru di dunia DeFi dan ingin mengetahui lebih lanjut tentang proyek kripto yang berpotensi naik, Anda dapat membaca artikel tentang crypto yang akan naik. Artikel ini memberikan informasi mendalam tentang koin-koin yang diprediksi akan mengalami peningkatan nilai.

Selain itu, untuk Anda yang ingin mengikuti presale crypto terbaru dan memiliki peluang besar, kunjungi artikel tentang presale crypto. Di sana, Anda akan menemukan daftar proyek presale yang menarik dan berpotensi memberikan keuntungan besar.