DNS-атака на DeFi: сотни протоколов оказались под угрозой взлома

11 июля произошла сложная атака на реестры доменов, затронувшая множество приложений децентрализованных финансов (DeFi). Люди массово перенаправлялись на вредоносные сайты, что вызвало тревогу как среди пользователей, так и среди разработчиков DeFi-протоколов.

Платформа безопасности блокчейна Blockaid установила, что злоумышленники воспользовались доменами, предоставленными популярным сервисом Squarespace, используемого для создания веб-сайтов. Среди пострадавших оказались такие известные протоколы, как Celer Network, Compound Finance, Pendle Finance и Unstoppable Domains.

Атака была реализована через манипуляцию записями системы доменных имён (DNS), что позволило злоумышленникам перенаправлять пользователей на фишинговые сайты для кражи их данных и средств.

Первые признаки атаки появились, когда пользователи, пытавшиеся получить доступ к Compound Finance через сайт «compound[.]finance», были перенаправлены на фальшивую страницу с приложением для кражи токенов. Параллельно была атакована и сеть Celer Network, однако её система мониторинга смогла предотвратить попытку захвата.

Представители Celer Network быстро проинформировали криптосообщество об атаке, а чуть позже специалисты Blockaid подтвердили, что под угрозой находятся множество DeFi-интерфейсов. Причиной атак стали скомпрометированные DNS-записи на проектах, размещённых через Squarespace.

Позже разработчик DefiLlama под ником 0xngmi опубликовал список из более чем ста потенциально затронутых DeFi-протоколов, среди которых, например, Pendle Finance, Axelar, Vertex Protocol, PolyMarket, Karak Network, Hyper Liquid, Thorchain, Hop, dYdX, Satoshi Protocol, Nirvana и LooksRare.

Pendle Finance подтвердил нарушение и временно отключил свой сайт. Пользователям было рекомендовано не пользоваться фирменным приложением, хотя компания и заверила, что все средства в полной безопасности.

MetaMask, ведущий провайдер кошельков Web3, также отреагировал, внедрив предупреждения для пользователей, пытающихся взаимодействовать со скомпрометированными сайтами. Эти действия были направлены на снижение риска кражи токенов.

До дальнейших уведомлений от администрации используемых платформ, пользователям рекомендуется избегать любых взаимодействий с DeFi-приложениями, размещёнными на доменах Squarespace. Только так возможно предотвратить возможную кражу токенов.

Столь громкая и неожиданная атака на приложения DeFi через уязвимости DNS подчёркивает необходимость усиленных мер безопасности в пространстве Web3. Даже в мире децентрализованных финансов такие элементы сетевой инфраструктуры, как DNS и хостинг-провайдеры, продолжают оставаться критическими точками, которыми могут воспользоваться злоумышленники в корыстных целях.