การเตือนความปลอดภัย: 220 โปรโตคอล DeFi ถูกเปิดเผยต่อการโจมตี DNS Hijack ของ Squarespace

[TL; DR]

การโจมตี DNS สามารถเปลี่ยนเส้นทางการเชื่อมต่อ DNS ไปยังเว็บไซต์ที่เต็มไปด้วยความชั่งใจที่สามารถดูดเงินจากผู้ใช้

ในช่วงสองสัปดาห์แรกของเดือนกรกฎาคมมีบางคนที่ทำผิดพลังงานพยายามที่จะขัดขวาง MetaMask Compound และเซเลอร์เน็ตเวิร์คส์รวมถึงผู้อื่นๆ

ผู้ใช้ควรใช้รหัสผ่านที่แข็งแกร่งสำหรับอีเมลและใช้การตรวจสอบสองขั้นตอนสำหรับบัญชีดิจิทัลของพวกเขา

การแนะนำ

ผู้โจมตีทางด้านคริปโตกำลังเพิ่มวิธีการขโมยสินทรัพย์ดิจิทัลจากนักลงทุนที่ไม่เดาว่าจะเกิดเหตุขึ้น ดังนั้น การสำคัญที่ผู้ที่ทำธุรกรรมทางคริปโตจะต้องระวังกิจกรรมที่ผิดปกติบนเครือข่ายบล็อกเชนที่พวกเขามีส่วนได้สัมพันธ์กัน วันนี้เราจะให้ความสนใจถึงวิธีที่ผู้โจมตีทางคริปโตใช้การโจมตี DNS hijacking เพื่อขโมยสินทรัพย์จากคน และเรายังจะสำรวจวิธีที่นักลงทุนสามารถป้องกันสินทรัพย์ของพวกเขาจากการโจมตีแบบนั้น

ผู้โจมตีคริปโตรเพิ่มวิธีการของพวกเขา: วิธีการโจมตี DNS ที่เป็นอันตรายต่อกลุ่มภาคสนาม

วิธีโจมตีคริปโตใหม่ที่เรียกว่า DNS ที่ถูกอ้างอิงกำลังลุกลามและก่อให้เกิดความเสี่ยงต่อระบบเครือข่ายบล็อกเชนหลายระบบ วิธีที่ผู้กระทำที่ไม่ดีใช้งานอย่างชาญฉลาดนี้อาจส่งผลกระทบต่อโปรโตคอลการเงินที่กระจายแบบไม่มีส่วนร่วมกันหลายรายการ โดยมีความกลัวว่ามีโปรโตคอล DeFi กว่า 220 รายการที่อยู่ในอันตรายอย่างใหญ่

ผ่านการโจมตี DNS ของ Squarespace ผู้กระทำที่ไม่ดีสามารถเปลี่ยนเส้นทาง DNS เพื่อเชื่อมต่อไปยังที่อยู่ IP ที่ไม่ดีเพื่อใช้ในการถ่ายโอนสินทรัพย์ดิจิทัลจากกระเป๋าเงินของผู้ใช้ที่ไม่รู้ตัว อย่างไรก็ตาม โดยใช้วิธีนี้ผู้โจมตีเหล่านี้ได้ยึดครองโปรโตคอล DeFi หลายราย เช่น Compound Ethereum-based DeFi protocol, and Celer Network, a multi-chain interoperability protocol. โปรโตคอล DeFi และ Celer Network ซึ่งเป็นโปรโตคอลการทํางานร่วมกันแบบหลายสาย กระเป๋าเงินดิจิทัลของผู้ใช้ที่โต้ตอบกับส่วนหน้าของโปรโตคอลเป้าหมายจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บที่จะระบายกระเป๋าเงินของพวกเขา สิ่งสําคัญคือต้องทราบว่าในกรณีส่วนใหญ่เหยื่อจะถูกหลอกให้ลงนามในธุรกรรมที่เป็นอันตรายซึ่งทําให้ผู้โจมตีสามารถควบคุมทรัพย์สินของตนได้อย่างเต็มที่ ชุดระบายมักจะถูกปรับใช้ผ่านโดเมนที่ถูกบุกรุกและเว็บไซต์ฟิชชิ่งดังนั้นนักลงทุน crypto จํานวนมากต้องเผชิญกับความเสี่ยงด้านความปลอดภัยของ DeFi

มีผู้สังเกตเห็นว่าผู้โจมตีเหล่านี้มีการเชื่อมโยงกับ Inferno Drainer ที่ชื่อว่าเป็นคนร้ายซึ่งใช้ชุดเครื่องมือการระบายกระเป๋าที่ทันสมัยเพื่อเอาชนะการควบคุมของสินทรัพย์คริปโตของเหยื่อผ่านธุรกรรมที่หลอกลวง ตามการเผยแพร่ล่าสุดจาก Decrypt ไอโด บิน-นาทัน ผู้ร่วมก่อตั้งและ CEO ของ Blockaid มั่นใจว่า Inferno Drainer เกี่ยวข้องกับการปล้นคริปโตเหล่านี้ ในการสัมภาษณ์กับ Decrypt บนนาทันกล่าวว่า, “การเชื่อมโยงกับ Inferno Drainer มีความชัดเจนเนื่องจากโครงสร้างพื้นฐาน onchain และ offchain ที่ใช้ร่วมกัน ซึ่งรวมถึง onchain wallet และที่อยู่ smart contract ตลอดจนที่อยู่ IP offchain และโดเมนที่เชื่อมโยงกับ Inferno”

อย่างไรก็ตามเนื่องจากอาชญากรไซเบอร์เหล่านี้แบ่งปันโครงสร้างพื้นฐานแบบ on-chain และ off-chain จึงสามารถติดตามได้ ตัวอย่างเช่น บริษัท ดิจิทัลเช่น Blockaid ที่ทํางานร่วมกับชุมชนและฝ่ายที่ได้รับผลกระทบสามารถช่วยในการระบุช่องโหว่ของ DNS และลดผลกระทบของการโจมตีดังกล่าว อย่างไรก็ตามการสื่อสารและความร่วมมือที่ชัดเจนจากฝ่ายต่างๆที่เกี่ยวข้องเป็นสิ่งสําคัญในการ จํากัด ขอบเขตของความเสียหายที่อาจเกิดขึ้นจากการโจมตี Ben-natan อธิบายว่า:” Blockaid สามารถติดตามที่อยู่ได้ ทีมงานของเรายังทํางานอย่างใกล้ชิดกับชุมชนเพื่อให้แน่ใจว่ามีช่องทางที่เปิดกว้างในการรายงานไซต์ที่ถูกบุกรุก”
ย้อนกลับไปในเดือนพฤศจิกายน 2023 Inferno Drainer ประกาศความตั้งใจที่จะยุบการดําเนินงาน อย่างไรก็ตามจากรูปลักษณ์ของสิ่งต่าง ๆ กลุ่มยังคงก่อให้เกิดความปลอดภัยทางไซเบอร์อย่างมากในภัยคุกคาม crypto ผ่านการจี้ DNS และวิธีการอื่น ๆ ที่เกี่ยวข้อง จากแนวโน้มด้านความปลอดภัยของสกุลเงินดิจิทัลล่าสุด Inferno Drainer ได้ขโมยสินทรัพย์ดิจิทัลมูลค่ากว่า 180 ล้านดอลลาร์

ปัญหาการโจมตี DNS Hijack: วิธีการทำงาน

การโจมตี DNS เกิดขึ้นเมื่อผู้กระทำที่ไม่ดีทิ้งคำค้นหาไปยังเซิร์ฟเวอร์ชื่อโดเมนที่ไม่ได้รับอนุญาต โดยพื้นฐานแล้วผู้โจมตีใช้การปรับเปลี่ยนที่ไม่ได้รับอนุญาตหรือมัลแวร์เพื่อเปลี่ยนแปลงบันทึก DNS ของเว็บไซต์เป้าหมายซึ่งจะพาผู้ใช้ไปยังปลายทางที่ไม่ดี ในกรณีของการโจมตี Squarespace บางผู้เชี่ยวชาญเชื่อว่าผู้โจมตีอาจจะใช้การปนทะลุแคช DNS ซึ่งเกี่ยวข้องกับการฉีดข้อมูลเท็จลงในแคช DNS ด้วย ผลที่เกิดขึ้นคือคำค้นหา DNS จะส่งคืนคำตอบที่ไม่ถูกต้องก่อนที่จะพาผู้ใช้ไปยังเว็บไซต์ที่ไม่ดี

The โปรโตคอล DeFi ที่ถูกทำลายใช้วิธีต่าง ๆ เพื่อป้องกันการโจรกรรมขนาดใหญ่ของสินทรัพย์ดิจิทัลของผู้ใช้ หนึ่งในการตอบสนองด้านความปลอดภัยของ SquareSpace ที่นิยมใช้กันคือการเตือนผู้ใช้เกี่ยวกับอันตรายที่มีอยู่ ตัวอย่างเช่น MetaMask เตือนผู้ใช้เกี่ยวกับอันตรายผ่านแพลตฟอร์มโซเชียลมีเดีย เช่น X.com.

Source: X.com

เมื่อโปรโตคอล DeFi เป้าหมายแชร์คำเตือนในแพลตฟอร์มโซเชียลมีเดียต่าง ๆ สมาชิกจากชุมชนคริปโตต่าง ๆ ช่วยเผยแพร่ข้อความและเตือนผู้ใช้สินทรัพย์ดิจิตอลมากมายเกี่ยวกับอุปสรรคที่มีอยู่

อ่านเพิ่มเติม: สิบหกตัวบ่งชี้สำคัญทุกคนต้องรู้เกี่ยวกับ DeFi

ขอบเขตของผลกระทบ: 220 DeFi Protocols อยู่ในความเสี่ยง

ขณะนี้ยังไม่มีข้อมูลที่แน่นอนเกี่ยวกับขอบเขตทั้งหมดของการโจมตี DNS ของ Squarespace ล่าสุด การโจมตี DNS ครั้งแรกถูกตรวจพบเมื่อวันที่ 6 และ 11 กรกฎาคม ปีนี้เมื่อผู้ก่อการร้ายพยายามเอาชนะการควบคุมของ Compound และ Celer Network อย่างไรก็ตาม ในกรณีของ Celer Network ระบบตรวจสอบของมันได้ป้องกันการโจมตี การประเมินเบื้องต้นของ Blockaid เกี่ยวกับการโจมตีชี้ให้เห็นว่าผู้โจมตีกำลังเป้าหมายที่ชื่อโดเมนที่ Squarespace ให้บริการ ซึ่งทำให้มี DeFi มากกว่า 220 โปรโตคอลอยู่ในความเสี่ยงด้านความปลอดภัยของ DeFi นั่นเป็นเพราะทุก แอป DeFi เว็บไซต์ที่ใช้โดเมน Squarespace อาจเผชิญกับความเสี่ยงจากการโจมตี DNS

เกี่ยวกับสิ่งนี้ผ่านทาง ในโพสต์ X, Blockaid กล่าวว่า จากการประเมินเบื้องต้น ดูเหมือนว่าผู้โจมตีจะดำเนินการโดยการขโมยบัญชี DNS ของโครงการที่โฮสต์บน SquareSpace การโจมตีต่อโปรโตคอล DeFi ต่าง ๆ กระเป๋าเงินดิจิทัลและบัญชีแลกเปลี่ยนคริปโตถูกขัดขวางโดยระบบรักษาความปลอดภัยที่แข็งแกร่งของพวกเขา ในส่วนมากการแจ้งเตือนผู้ใช้เกี่ยวกับอันตรายที่กำลังเกิดขึ้นเหมือนที่แสดงในภาพหน้าจอต่อไปนี้

แหล่งที่มา: x.com

ตามที่สังเกตเห็นว่ากระเป๋าเงินดิจิตอลที่รวมถึง Coinbase Wallet และ MetaMask ได้ระบุเว็บไซต์ที่เกี่ยวข้องว่าเป็นอันตรายและไม่ปลอดภัย ตัวอย่างของบางโปรโตคอล DeFi ที่เสี่ยงต่อความเสี่ยงคือ Thorchain, Flare, Pendle Finance, Aptos Labs, Polymarket, Satoshi Protocol, Near, dYdX, Nirvana, MantaDAO และ Ferrum.

บทบาทของ DNS ในความปลอดภัยทางด้านคริปโต

พูดง่ายๆก็คือ Domain Name (DNS) จะแปลงชื่อเว็บไซต์เป็นที่อยู่ที่เหมาะกับคอมพิวเตอร์ ตัวอย่างเช่นพวกเขาแปลชื่อโดเมนเช่น www.tcore.com) เป็นที่อยู่ IP ที่เป็นตัวเลขเช่น 82.223.84.85 ทําให้อุปกรณ์สามารถเชื่อมต่อกับปลายทางออนไลน์ต่างๆได้ อย่างไรก็ตาม DNS มีบทบาทสําคัญในการรักษาความปลอดภัยแพลตฟอร์ม crypto ออนไลน์ เนื่องจากเป็นระบบกระจายอํานาจจึงไม่มีจุดศูนย์กลางของความล้มเหลวซึ่งป้องกันการโจมตีทางไซเบอร์จํานวนมาก นอกจากนี้ DNS บล็อกเชนยังทําให้ผู้ไม่หวังดีไม่สามารถจัดการกับธุรกรรมได้ดังนั้นจึงรักษาความปลอดภัยสินทรัพย์ดิจิทัลที่มีอยู่ในเครือข่ายกระจายอํานาจต่างๆ

วิธีการป้องกันตัวเองของแพลตฟอร์ม DeFi จากช่องโหว่ที่คล้ายกัน

หลังจากการโจมตี DNS ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้แนะนําวิธีการหลายวิธีในการจัดการช่องโหว่ DNS ที่คล้ายกัน บริษัท DeFi สามารถเพิ่มชั้นความปลอดภัยให้กับโปรโตคอลของตนได้ ตัวอย่างเช่น พวกเขาสามารถกําหนดค่าสัญญาอัจฉริยะใหม่เพื่อป้องกันการอัปเดต เว้นแต่จะได้รับการยืนยันลายเซ็น onchain ในกรณีนี้ก่อนการอัปเดต DNS ควรขอลายเซ็นจากกระเป๋าเงินของผู้ใช้ สิ่งนี้จะทําให้แฮกเกอร์ประสบความสําเร็จในภารกิจได้ยากขึ้นเนื่องจากพวกเขาจะต้องแฮ็คทั้งกระเป๋าเงินและนายทะเบียน

นอกจากนี้โปรโตคอล DeFi อาจต้องทำเครือข่ายที่น่าเชื่อถือของ URL และตรวจสอบทุกที่อยู่เว็บไซต์ที่เกี่ยวข้อง พวกเขายังสามารถเพิ่มส่วนขยายเบราว์เซอร์ที่เกี่ยวข้องเช่น HTTPS และการตรวจสอบสองปัจจัย (2FA) สำหรับบัญชีดิจิตอลและกระเป๋าเงินดิจิตอล นอกจากนี้โปรโตคอล DeFi ควรมีช่องทางการสื่อสารเพื่อรายงานกิจกรรมคริปโตที่น่าสงสัย ด้วยนั้นแพลตฟอร์มที่ได้รับผลกระทบสามารถรับการสนับสนุนจากพันธมิตรด้านความปลอดภัยอื่น ๆ

Another way of การป้องกันแพลตฟอร์ม DeFi การใช้ตัวกรองเนื้อหาเพื่อบล็อกเว็บไซต์ที่เป็นอันตรายจากการปฏิสัมพันธ์กับสมาร์ทคอนแทร็กของพวกเขา ตัวอย่างเช่นพวกเขาสามารถใช้มัลแวร์ที่แข็งแกร่ง การบล็อคเว็บไซต์ที่ลอกเลียนแบบ.

คู่มือผู้ใช้: วิธีการป้องกันสินทรัพย์ส่วนตัว

นอกเหนือจากมาตรการด้านความปลอดภัยของโปรโตคอล DeFi ที่ได้นำมาใช้แล้ว ผู้ใช้ควรนำมาใช้กลยุทธ์ในการป้องกันสินทรัพย์คริปโตของตนเองด้วย เช่น เขาควรติดตั้งซอฟต์แวร์ต้านไวรัสบนอุปกรณ์อิเล็กทรอนิกส์ของตน เขาต้องใช้การยืนยันตัวตนสองชั้น VPN และไฟร์วอลล์ที่แข็งแรง นอกจากนี้ บุคคลควรใช้รหัสผ่านที่แข็งแรงสำหรับอีเมลและการลงทะเบียนโดเมนของตน

สรุปผล

มีกว่า 220 โปรโตคอล DeFi อยู่ในอันตรายจากการโจมตี DNS ในช่วงสองสัปดาห์แรกของเดือนกรกฎาคมบางผู้โจมตีที่ไม่ดีพอพยายามที่จะคุกคามโปรโตคอล DeFi และกระเป๋าเงินดิจิทัลหลายแห่งที่รวมถึง Compound, Celer Network, Coinbase wallet และ MetaMask อย่างไรก็ตามเกือบทั้งหมดของแพลตฟอร์มเหล่านี้ได้ต้านทานการโจมตีได้อย่างสำเร็จ ในการป้องกันการโจมตีในอนาคต บริษัทด้านคริปโตอาจต้อง นำเสนอมาตรการความปลอดภัยเพิ่มเติม เช่นสิ่งที่เรียกว่าการยืนยันตัวตนสองขั้นตอน และส่วนขยายของเบราว์เซอร์ที่เกี่ยวข้อง เช่น HTTPS

คำถามที่พบบ่อยเกี่ยวกับการโจมตี DNS

ถ้า DNS ถูกยึดครองจะเกิดอะไรขึ้น?

หาก DNS ถูกโจมตีจะเปลี่ยนเส้นทาง DNS ไปยังเว็บไซต์ที่เป็นอันตรายที่อาจทำให้กระเป๋าเงินของผู้ใช้ถูกเบือนน้ำออก ในการป้องกันการโจมตี DNS บริษัท DeFi อาจจำเป็นต้องปรับแต่งสัญญาอัจฉริยะของพวกเขาเพื่อหยุดการอัปเดตที่เกิดขึ้นโดยปกติโดยไม่มีลายเซ็นต์ onchain ที่ได้รับการยืนยัน

คุณจะบรรเทาการโจมตี DNS แบบไหน?

ผู้ใช้สามารถใช้กลยุทธ์ต่างๆ เช่น รหัสผ่านอีเมลที่แข็งแกร่งและการตรวจสอบสองปัจจัยเพื่อลดความเสี่ยงจากการจัดการ DNS ในอีกด้านหนึ่ง โปรโตคอล DeFi อาจต้องทำเครื่องหมายบุ๊คมาร์ก URL ที่เชื่อถือได้และตรวจสอบทุกที่อยู่เว็บไซต์ที่เกี่ยวข้องทั้งหมด

VPN ป้องกันการจี้ DNS หรือไม่?

VPN สามารถป้องกันการโจมตี DNS hijacking ได้ นั่นเป็นเพราะ VPN สามารถป้องกันการดักฟังของคำถาม DNS อย่างได้เป็นเหตุ อย่างไรก็ตาม ผู้ใช้ควรใช้ VPN ที่เชื่อถือได้

ความแตกต่างระหว่างการพิสูจน์ DNS และการโจมตี DNS คืออะไร?

การโจมตี DNS hijacking เกี่ยวข้องกับการเปลี่ยนการตั้งค่า DNS ในขณะที่ DNS proofing แก้ไขระเบียน DNS โดยทั่วไปผู้โจมตีจะใช้มัลแวร์เพื่อให้การโจมตี DNS hijacking เป็นไปได้