Koordinuotų DNS užgrobimo atakų banga nukreipta į decentralizuotų finansų (DeFi) kriptovaliutų domenus, naudojant „Squarespace“ registratorių, nukreipiant lankytojus į sukčiavimo svetaines, kuriose yra piniginės ištuštinimo priemonės.
DNS užgrobimas yra tada, kai užpuolikas modifikuoja taikinio domenų vardų sistemos įrašus, kad nukreiptų srautą iš teisėtos svetainės į savo valdomą svetainę, pvz., sukčiavimo puslapius. Šios atakos paprastai vykdomos pažeidžiant DNS serverį arba taikinio paskyrą DNS paslaugų teikėje ir pakeitus DNS įrašus.
DNS užgrobimai yra skirti kriptovaliutų platformoms
Vakar daugelis „DeFi“ platformų perspėjo, kad jų svetainių domenai nukreipia vartotojus į sukčiavimo svetaines, kurios naudojo piniginės nusausinimo priemones, kad pavogtų kriptovaliutą ir NFT iš prijungtų piniginių. Visi šie domenai turėjo bendrą registratorių „Squarespace“.
DeFi platforma Compound Finance vakar perspėjo, kad pagrindinis jos domenas buvo perimtas, kad būtų rodomas sukčiavimo puslapis.
Platforma perspėjo vartotojus nesilankyti jos svetainėje ir vietoj to pateikė saugią alternatyvą. Ji taip pat patarė visiems, kurie bendravo su Compound dApps, atšaukti prieigą.
„Celer Network“, platforma, orientuota į 2 sluoksnio mastelio keitimo sprendimus, skirtus „blockchain“ programoms, taip pat paskelbė, kad ją taikė DNS užgrobimas. Tačiau ji teigia, kad sulaikė bandymą ir greitai atkūrė savo DNS įrašus.
„Mūsų vykdomas tyrimas rodo, kad atakos vektorius greičiausiai buvo susijęs su trečiosiomis šalimis, kurių mes nekontroliuojame“, – sakė Celeris X.
Galiausiai, „Pendle“, „DeFi“ protokolas, skirtas prekiauti žetoniškais ateities pajamomis, susidūrė su panašiomis problemomis. Ji patarė vartotojams nedelsiant atšaukti išmaniųjų sutarčių patvirtinimus ir išvalyti naršyklės talpyklą, kad jie nebūtų nukreipti kitur.
Visos trys platformos patikino vartotojus, kad šie DNS užgrobimai nepažeidė jų protokolų ir kad žmonių lėšos yra saugios.
Vis dėlto tie, kurie įvedė duomenis sukčiavimo svetainėse, turi nedelsiant imtis veiksmų, kad sumažintų riziką, įskaitant išmaniųjų sutarčių patvirtinimų atšaukimą, slaptažodžių keitimą ir lėšų pervedimą į naują piniginę.
Šiandien „Unstoppable Domains“ taip pat pranešė, kad jų domenai buvo užgrobti ir jiems nepavyko susisiekti su „SquareSpace“, kad išspręstų problemą.
Išpuoliai, susiję su „SquareSpace“ registratoriumi
Nors tiksli kompromiso priežastis dar nenustatyta, visi pažeisti domenai iš pradžių buvo užregistruoti „Google Domains“, kurie vėliau buvo priverstinai perkelti į „Squarespace“ 2023 m., kaip dalis turto pirkimo sutarties su „Google“.
Nuo tada „Squarespace“ pradėjo perkelti domenus į savo paslaugą, o neseniai pažeisti domenai dabar yra užregistruoti įmonėje.
„Dėl konteksto – 2023 m. birželio mėn. „Squarespace“ įsigijo visas domenų registracijas ir susijusias klientų paskyras iš „Google Domains“, todėl domenai buvo priversti perkelti“, – tviteryje paskelbė Pendle.
„Neseniai užpuolikai pasinaudojo „Squarespace“ pažeidžiamumu, užgrobdami jų platformoje esančius domenus. Saugumo ekspertai vis dar tiria tikslų užgrobimo atakų mechanizmą, tačiau daugelis domenų (įskaitant „Pendle“), kurie buvo perkelti iš „Google“ į „Squarespace“, buvo paveikti.
Tačiau pereinant prie „Squarespace“, kelių veiksnių autentifikavimas paskyrose buvo išjungtas. „Squarespace“ palaikymo tema apie „Google“ domenų perkėlimą įspėjo domenų savininkus įjungti kelių veiksnių autentifikavimą, kad domenai būtų dar labiau apsaugoti.
Neaišku, kaip grėsmės veikėjai užgrobia domenus, tačiau kriptovaliutų saugumo tyrinėtojų Samczsun, Taylor Monahan ir Andrew Mohawk ataskaitoje nurodoma, kad tai gali būti susiję su kelių veiksnių autentifikavimo išjungimu perkėlimo proceso metu ir automatiniu paskyrų kūrimu su domenais susietų vartotojų.
Klientų, kurie užsiprenumeravo „Google Workspace“ per „Google Domains“, paslauga būtų perkelta į „Squarespace“, kuri taip pat yra „Workspace“ perpardavėja. Tyrėjai mano, kad grėsmės veikėjai naudoja perpardavėjo prieigą ir naujai sukurtas paskyras, kad sukurtų naujas Workspace paskyras arba nuomininkus, susietus su domenais.
Kiti „Squarespace“ klientai taip pat pranešė gavę įtartinus slaptažodžio nustatymo iš naujo el. laiškus, kurie gali reikšti, kad tai platesnė „SquareSpace“ paskyrų kredencialų ataka.
Tyrėjai sudarė sąrašą kriptovaliutų ir su DeFi susijusių projektų, kuriuos valdo Squarespace ir kurie galėjo turėti įtakos, sąrašą. Žmonėms rekomenduojama būti budriems bendraujant su tomis platformomis, kol situacija išsiaiškins.
„BleepingComputer“ susisiekė su „Squarespace“, kad pakomentuotų situaciją, tačiau vis dar laukiame atsakymo.