Aerodrome Finance , sàn Sàn phi tập trung (DEX) hàng đầu trên mạng Base , đã xác nhận rằng họ đang điều tra một vụ tấn công chiếm quyền điều khiển DNS bị nghi ngờ đã xâm phạm các tên miền tập trung của họ.
Giao thức cảnh báo người dùng tránh truy cập vào các tên miền chính .finance và .box và thay vào đó sử dụng hai máy chủ phản chiếu phi tập trung an toàn được lưu trữ trên cơ sở hạ tầng ENS .
Cuộc tấn công diễn ra nhanh chóng, người dùng bị ảnh hưởng báo cáo các yêu cầu chữ ký độc hại được thiết kế để rút nhiều tài sản, bao gồm NFT, ETH và USDC, thông qua các lời nhắc phê duyệt không giới hạn.
Mặc dù nhóm nghiên cứu khẳng định rằng tất cả các hợp đồng thông minh đều an toàn, nhưng vụ xâm phạm giao diện người dùng đã khiến người dùng gặp phải các nỗ lực lừa đảo tinh vi có thể làm cạn kiệt ví của những người không theo dõi cẩn thận việc phê duyệt giao dịch.
Vụ tấn công DNS buộc phải khóa giao thức khẩn cấp
Cuộc điều tra của Aerodrome bắt đầu khi nhóm phát hiện hoạt động bất thường trên cơ sở hạ tầng miền chính của sân bay khoảng sáu giờ trước khi đưa ra cảnh báo công khai.
Giao thức này ngay lập tức đánh dấu nhà cung cấp tên miền của mình, Box Domains, là có khả năng bị xâm phạm và yêu cầu dịch vụ này liên hệ ngay lập tức.
Trong vòng vài giờ, nhóm đã xác nhận rằng cả hai miền tập trung, .finance và .box, đều đã bị chiếm đoạt và vẫn nằm dưới sự kiểm soát của kẻ tấn công.
Giao thức phản hồi bằng cách tắt quyền truy cập vào tất cả các URL chính trong khi thiết lập hai giải pháp thay thế an toàn đã được xác minh: aero.drome. ETH.limo và aero.drome. ETH. LINK (Chainlink).
Các bản sao phi tập trung này tận dụng Ethereum Name Service, hoạt động độc lập với các hệ thống DNS truyền thống dễ bị tấn công.
Nhóm nghiên cứu nhấn mạnh rằng bảo mật hợp đồng thông minh vẫn được duy trì trong suốt sự cố, chỉ giới hạn vi phạm ở các điểm truy cập giao diện người dùng.
Giao thức chị em Velodrome cũng phải đối mặt với những mối đe dọa tương tự, khiến nhóm của họ phải đưa ra những cảnh báo song song về bảo mật miền.
Bản chất phối hợp của các cảnh báo cho thấy rằng những kẻ tấn công có thể đã nhắm mục tiêu một cách có hệ thống vào cơ sở hạ tầng của Box Domains để xâm phạm nhiều nền tảng DeFi cùng lúc.
Người dùng báo cáo các nỗ lực rút tiền đa tài sản hung hãn
Một người dùng bị ảnh hưởng đã mô tả việc gặp phải giao diện độc hại trước khi các cảnh báo chính thức được đưa ra, đồng thời nêu chi tiết cách trang web bị xâm phạm triển khai một cuộc tấn công lừa đảo gồm hai giai đoạn.
Đầu tiên, giao diện bị tấn công yêu cầu một chữ ký có vẻ vô hại chỉ chứa số "1" để thiết lập kết nối ví ban đầu.
Ngay sau yêu cầu có vẻ vô hại này, giao diện đã kích hoạt vô số lời nhắc phê duyệt cho NFT, ETH, USDC và WETH.
“ Nó yêu cầu một chữ ký đơn giản, sau đó ngay lập tức thử nghiệm việc phê duyệt không giới hạn để rút NFT, ETH và USDC ”, người dùng báo cáo. “ Nếu bạn không chú ý, bạn có thể đã mất tất cả. ”
Nạn nhân đã ghi lại cuộc tấn công thông qua ảnh chụp màn hình và video ghi lại quá trình từ yêu cầu chữ ký ban đầu cho đến nhiều lần cố gắng rút tiền.
Cuộc điều tra của họ, được thực hiện với sự hỗ trợ của AI, đã kiểm tra cấu hình trình duyệt, tiện ích mở rộng, cài đặt DNS và điểm cuối RPC trước khi kết luận rằng mô hình tấn công phù hợp với phương pháp chiếm quyền điều khiển DNS.
Một thành viên cộng đồng khác đã chia sẻ trải nghiệm về một sự cố riêng biệt, gây tổn thất gần đây, tự mô tả mình là một cựu chiến binh dày dạn kinh nghiệm và là nhà phát triển toàn diện nhưng vẫn là nạn nhân của các cuộc tấn công tinh vi.
Mặc dù có chuyên môn kỹ thuật, người dùng này vẫn mất một khoản tiền đáng kể và mất 3 ngày để phát triển một Script dựa trên gói Jito để thu hồi khoảng 10-15% tài sản bị đánh cắp thông qua các hoạt động ẩn on-chain .
Tháng 10 ghi nhận mức tổn thất do hack tiền điện tử thấp nhất trong năm
Sự cố Aerodrome xảy ra vào thời điểm diễn ra cột mốc bảo mật bất ngờ của tháng 10, khi thị trường tiền điện tử trải qua mức tổn thất do hack hàng tháng thấp nhất trong năm.
Dữ liệu từ công ty bảo mật blockchain PeckShield cho thấy chỉ có 18,18 triệu đô la bị đánh cắp trong 15 vụ việc riêng biệt, giảm mạnh 85,7% so với mức 127,06 triệu đô la của tháng 9.
Nếu không có vụ tấn công Garden Finance vào cuối tháng, tổng thiệt hại sẽ ở mức gần 7,18 triệu đô la, mức giá trị thấp nhất trong một tháng kể từ đầu năm 2023.
Những vụ việc lớn nhất xảy ra tại Garden Finance, Typus Finance và Abracadabra, tổng cộng chiếm tới 16,2 triệu đô la trong tổng số tiền bị đánh cắp.
Garden Finance, một giao thức ngang hàng Bitcoin, đã tiết lộ vào ngày 30 tháng 10 rằng giao thức này đã bị khai thác để lấy đi hơn 10 triệu đô la sau khi một trong những trình giải mã của giao thức này bị xâm phạm , với vụ vi phạm chỉ ảnh hưởng đến hàng tồn kho của chính trình giải mã.
Typus Finance đã phải chịu một cuộc tấn Oracle Manipulation vào ngày 15 tháng 10 khiến khoảng 3,4 triệu đô la bị rút khỏi nhóm thanh khoản của công ty, bắt nguồn từ một lỗ hổng trong một trong các hợp đồng TLP khiến Token gốc của dự án giảm khoảng 35%.
Nền tảng cho vay DeFi Abracadabra đã phải chịu lần khai thác thứ ba kể từ khi ra mắt vào cùng thời điểm , gây ra thiệt hại khoảng 1,8 triệu đô la tiền ổn định MIM sau khi tin tặc vượt qua các lần kiểm tra khả năng thanh toán thông qua lỗ hổng hợp đồng thông minh.
