内容目录
· 域名遭 DNS 劫持,创始人紧急发推提醒用户
· 近期 DNS 劫持事件频发生
· DNS 劫持是什么?
Bitbili 消息,11 月 1 日,据派盾(PeckShield)监测显示,混合算法稳定币协议 Frax Finance 网站 DNS 疑似遭到劫持。
域名遭 DNS 劫持,创始人紧急发推提醒用户
11 月 1 日早,稳定币赛道的龙头协议,混合算法稳定币协议 Frax Finance 遭 DNS 挟持攻击。
创始人 Sam Kazemian 发推称「如果有人有任何联系方式,请 @namedotcom 私信。同时,在我们取回域名之前不要使用 http://frax.finance。」
Sam 所呼叫的域名服务商 Name.com 在该条推文底下回应,表示正在调查。从 Sam 的回应中可以了解到,截止创始人紧急发布推文时,攻击事件可能已持续 1 小时。
近期 DNS 劫持事件频发生
在 2022 年,Curve Finance、 Convex Finance、cBridge、Polygon RPC 网关以及 Ribbon Finance 等协议都发生了 DNS 劫持攻击事件。在 Curve Finance 攻击事件中,被盗资金超 60 万美元。
而近两月,DNS 攻击事件又频繁了起来,9 月 20 日,Balancer 遭 DNS 劫持攻击,损失达 23.8 万美元。
10 月 6 日,Galxe 前端网站遭 DNS 攻击,黑客地址总共获得了超过 160,000 美元的用户资金。同日,区块链工具箱 MCT 发布公告称,近两日有用户反馈使用 MCT 钱包被盗,经排查后发现,因运营商 DNS 域名劫持,在某种特定条件下有可能会将粘入的私钥上传至一个假冒域名。
DNS 劫持是什么?
DNS(域名服务器)劫持,也称为 DNS 重定向,攻击者通过破坏 DNS 服务器并更改与特定域名对应的 IP 地址来实现此目的。结果,试图访问合法网站的用户被重定向到一个看起来相同但由攻击者控制的虚假网站。这意味着用户在虚假网站上发起的任何交易都将使用攻击者的智能合约而不是合法合约来执行。
在 2022 年 Curve Finance 遭 DNS 攻击后,慢雾余弦曾发布过一篇文章科普 DNS 劫持的原因及预防措施。
常见的 DNS 劫持有两大类: 域名控制台被黑,攻击者可以任意修改其中的 DNS A 记录 (把 IP 指向攻击者控制的 IP_BAD),或者直接修改 Nameservers 为攻击者控制的 DNS 服务器; 在网络上做粗暴的中间人劫持,强制把目标域名指向 IP_BAD。
第一类劫持可以做到静默劫持,也就是用户浏览器端不会有任何安全提示,因为攻击者可以签发另一个合法的 HTTPS 证书。 第二类劫持,在域名采用 HTTPS 的情况下会出现 HTTPS 证书错误提示,没法静默劫持,但用户可以强制继续访问,除非目标域名配置了 HSTS 安全机制。
对于用户来说,防御要点包括: 对于关键域名,坚决不以 HTTP 形式访问,比如:http://example[.]com
而应该始终 HTTPS 形式:https://example[.]com
如果以 HTTPS 形式访问后,浏览器出现 HTTPS 证书报错,那么就坚决不要继续访问。这一点可以对抗非静默的 DNS 劫持攻击。
而对于静默劫持的情况,不管是 DNS 劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投毒等,在用户角度来看,浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。 这种情况下,用户可以尝试使用浏览器安全拓展攻击,但最重要的还是保持每一步操作的警惕(尤其是钱包要签名要确认的那一刻)。
当然在 Web3 领域,还一定要记得及时关注项目方所发布的信息。
文章来源于互联网:Frax Finance也中招,近两月Web3已有4起DNS域名劫持事件