في الحادي عشر من يوليو/تموز، أدى هجوم متطور على سجل النطاقات إلى اختراق العديد من تطبيقات التمويل اللامركزي (DeFi)، وإعادة توجيه المستخدمين إلى مواقع ويب ضارة. وأصدرت العديد من البروتوكولات تحذيرات لمستخدميها بشأن الهجوم.
حددت منصة أمان بلوكتشين Blockaid أن المهاجم استغل أسماء النطاقات التي توفرها Squarespace، وهي خدمة بناء مواقع ويب شهيرة. أثر هذا الاختراق على بروتوكولات DeFi البارزة، بما في ذلك Compound Finance، وقد يعرض العديد من التطبيقات الأخرى داخل النظام البيئي للخطر.
قام المهاجمون بالتلاعب بإدخالات نظام اسم المجال (DNS)، واعتراض المستخدمين الذين يحاولون الوصول إلى منصات DeFi المشروعة وتوجيههم إلى مواقع التصيد المصممة لسرقة المعلومات الحساسة والأموال.
الاكتشاف الأولي ونطاق هجوم سجل النطاق على بروتوكولات DeFi المتعددة
من التقييم الأولي، يبدو أن المهاجمين يعملون على اختطاف سجلات DNS للمشاريع المستضافة على SquareSpace.
على سبيل المثال، إليك سجل DNS الخاص بـ composite.finanace – يمكننا أن نرى أنه في وقت سابق اليوم، تم اختطاف DNS للإشارة إلى عنوان IP جديد: pic.twitter.com/y7iSBw1aAJ
— Blockaid (@blockaid_) 11 يوليو 2024
تم اكتشاف الهجوم لأول مرة عندما تم إعادة توجيه المستخدمين الذين حاولوا الوصول إلى واجهة Compound Finance على موقع compound.finance إلى موقع ويب ضار. يحتوي هذا الموقع الاحتيالي على تطبيق استنزاف مصمم لسرقة رموز المستخدمين.
وفي الوقت نفسه، تم استهداف نطاق شبكة Celer Network أيضًا، لكن أنظمة المراقبة الخاصة بها نجحت في اعتراض محاولة الاستحواذ قبل أن تنجح.
في الساعة 1:38 مساءً بتوقيت UTC، حذرت شبكة Celer مجتمع التشفير من هجوم DNS.
✅بفضل مراقبة أمن النطاق لدينا على مدار الساعة طوال أيام الأسبوع، تم اعتراض محاولة الاستيلاء على نطاقات Celer بنجاح. وتم استرداد جميع سجلات DNS. يشير تحقيقنا الجاري إلى أن ناقل الهجوم ربما شمل أطرافًا ثالثة خارجة عن سيطرتنا.
👁️الكرفس…
— CelerNetwork (@CelerNetwork) 11 يوليو 2024
بحلول الساعة 3:38 مساءً بالتوقيت العالمي المنسق، أكدت Blockaid أن العديد من واجهات DeFi الأمامية معرضة لخطر الاختطاف، ونسبت الهجمات إلى سجلات DNS المخترقة في المشاريع التي تستضيفها Squarespace.
أثار هذا الحادث نقاشًا حول نقاط الضعف في تطبيقات DeFi التي تعتمد على البنية التحتية Web2.
⚠️ وضع متطور – العديد من واجهات DeFi الأمامية معرضة لخطر الاختطاف، مع وقوع بعض الحوادث بالفعل، مع مشاريع مثل @مجمع التمويل و @سيلير نتورك تم اختراقها خلال الـ 24 ساعة الماضية.
سوف نقوم بتحديث هذا الموضوع بالتفاصيل أثناء تقدمنا. pic.twitter.com/iWQR0ByIgB
— Blockaid (@blockaid_) 11 يوليو 2024
وقد حدد خبراء الأمن منذ ذلك الحين ناقل الهجوم على أنه من المرجح أن يكون ناشئًا عن حسابات نطاق Google التي تستخدمها هذه البروتوكولات.
استحوذت شركة Squarespace على Google Domains في صفقة بقيمة 180 مليون دولار، وبالتالي فإن جميع المواقع الإلكترونية المرتبطة أصبحت الآن تحت التدقيق.
وفي وقت لاحق، نشر 0xngmi، المطور وراء DefiLlama، قائمة تضم أكثر من 100 بروتوكول DeFi متأثرة بشكل محتمل، بما في ذلك أسماء بارزة مثل Pendle Finance وAxelar وVertex Protocol وPolyMarket وKarak Network وHyper Liquid وThorchain وHop وdYdX وPolymarket وSatoshi Protocol وNirvana وLooksRare.
وبعيدًا عن Compound وCeler اللذين تعرضا للاختراق، تواجه بروتوكولات أخرى ذات صلة الآن تدقيقًا متزايدًا مع سعي المستخدمين والمطورين إلى تأمين منصاتهم.
لقد قمت بتجميع قائمة (جزئية) للمجالات المتصلة بمساحة Square Space والتي قد تكون معرضة لخطر الاختراق الآن، لذا سأتجنبها الآنhttps://t.co/Cih5YTgFL9
— 0xngmi (@0xngmi) 11 يوليو 2024
الرد على أكدت شركة Pendle Finance وجود الاختراق وأكدت مؤخرًا أنها أغلقت صفحتها. حذر بروتوكول العائد مستخدميه من استخدام التطبيق وأكد لهم أن أموالهم آمنة.
إعلان خدمة عامة: نظرًا لاختطاف نطاق Pendle، فقد قمنا بإغلاق الموقع الإلكتروني. يرجى الامتناع عن استخدام التطبيق مؤقتًا.
كن مطمئنًا، البروتوكول لم يتأثر، وأموالك آمنة.
— بيندل (@pendle_fi) 11 يوليو 2024
بروتوكولات Defi المتأثرة تؤكد الهجوم، ولا توجد أموال مسروقة.
يعد اختطاف اسم النطاق أحد العديد من ناقلات الهجوم التي تهدد صناعة Web3.
ومن الجدير بالذكر أن شركتي Compound Finance وCeler Network أصدرتا بيانات تعترفان فيها بهجوم DNS.
🚨عاجل: تم اختراق موقع Compound Labs (compound(.)finance).
يرجى عدم زيارة الموقع أو الضغط على أي روابط حتى إشعار آخر. سيتم توفير تحديث عند توفره.
هذه هي رسالتنا الأخيرة // نهاية التغريدة. 🚨
— Compound Labs (@compoundfinance) 11 يوليو 2024
أكدت شركة Compound Finance أن نطاقها قد تعرض للاختراق، مما أدى إلى إعادة توجيه المستخدمين إلى موقع ضار.
ومع ذلك، تمكنت شبكة Celer من اكتشاف الهجوم واعتراضه قبل أن يتسبب في أي ضرر.
ورغم هذه الإجراءات الاستباقية، تواصل كلتا المنصتين التحقيق في المدى الكامل للهجوم.
كما استجابت شركة MetaMask، وهي الشركة الرائدة في توفير محفظة Web3، بتنفيذ تحذيرات للمستخدمين الذين يحاولون إجراء معاملات على المواقع المخترقة.
بالنسبة لأولئك الذين يستخدمون MetaMask، ستشاهد تحذيرًا مقدمًا بواسطة @blockaid_ إذا حاولت إجراء معاملة على أي موقع معروف متورط في هذا الهجوم الحالي. #مم الأمن https://t.co/Fk0sAjaeit
— ميتاماسك 🦊🫰 (@MetaMask) 11 يوليو 2024
يهدف هذا الإجراء الاستباقي إلى التخفيف من خطر سرقة الرمز من خلال تنبيه المستخدمين إلى المخاطر المحتملة.
علاوة على ذلك، يتم حث المستخدمين على تجنب التفاعل مع هذه التطبيقات اللامركزية DeFi وغيرها المستضافة على نطاقات Squarespace حتى إشعار آخر لمنع سرقة الرمز المحتملة.
ومع استمرار التحقيق، لم يؤكد Celer Network أو Compound Finance التخفيف الكامل من التهديدات.
على الرغم من عدم الإبلاغ عن سرقة أي أموال حتى الآن، يُنصح المستخدمين بتوخي الحذر وتجنب التفاعل مع تطبيقات DeFi dapps حتى إشعار آخر.
يكشف الهجوم الحالي على تطبيقات DeFi عبر ثغرات DNS عن الحاجة الملحة إلى تدابير أمنية قوية في مجال Web3.
ومن المقترح إطلاق مبادرات مثل برنامج Telegram bot التابع لـ SEAL 911 ومجالس الأمن التي تضم قادة الصناعة، بما في ذلك Coinbase، كخطوات نحو بناء نظام بيئي أكثر أمانًا للعملات المشفرة.
في ديسمبر، قام المهاجم باختراق مكتبة Ledger Connect عن طريق حقن كود ضار، مما يؤثر على كامل نظام Ethereum Virtual Machine تقريبًا.
وتوضح حوادث مماثلة، مثل الهجوم على الواجهة الأمامية لشركة Balance والاستغلال الذي بلغت تكلفته 70 مليون دولار أمريكي والذي تورطت فيه شركة Curve Finance، الطبيعة المستمرة والمتطورة لهذه التهديدات.