网安信:多个DeFi项目遭受DNS劫持,难道黑客这是想干票大的? – 作者:网安信科技wax

北京时间3月15日,DeFi 抵押借贷平台 Cream Finance (CREAM)在推特紧急发布通知:我们网站的 DNS 已被第三方攻破,一些用户会在官网上看到需要输入用户私钥的请求,请不要输入任何有关私钥和 seed phrase 的内容,我们绝不会要求用户提交任何与私钥或seed phrase 相关的内容。

1.jpg

无独有偶,币安交易所(Binance)上最大的去中心化加密货币交易所PancakeSwap也随后在其官方推特上发布了类似公告:我们平台的DNS可能已遭受劫持,在我们还没有确认是不是这种情况之前,请用户不要使用交易所,我们将尽快确认,请记住,安全胜过遗憾。

2.jpg

币安交易所(Binance)的首席执行官CZ针对上述问题也提出了严重警告:可能有许多DeFi项目已经遭受DNS劫持攻击,请用户务必小心谨慎,不要向任何人透露您的私钥和seed phrase。

如果不算尚未发现的DNS劫持事件,仅目前已知的Cream Finance 及PancakeSwap两起DNS劫持事件也可说明,这次黑客进行的是一次大范围的恶意攻击。

网安信针对Cream Finance DNS遭劫持的原因分析

1、根据Cream Finance官方推特公告及网安信相关威胁情报数据进行分析,网安信判断本次攻击事件是由于黑客控制了Cream Finance的DNS服务器,导致大量交易所用户受到影响。因为只有运营方的DNS服务器解析不正确才会导致像这种大量用户不可访问,或者被钓鱼的情况,如果只是本地DNS或路由器DNS指向出现问题,则只能对某些特定用户产生影响。

如果以上分析不能说明上述判断,且看以下两幅截图:

4.jpg

上图是Cream Finance 域名的whois信息,大家可以看到从创立之日起至2021年1月4日,Cream Finance一直都是使用Godaddy公司提供的DNS解析服务。

3.jpg

而上图是Cream Finance目前的DNS解析信息,大家可以看到Cream Finance 的DNS解析已经迁移到了Cloudflare公司。

要知道,作为重要的IT基础服务,一般企业的DNS服务器是不会随便进行迁移的,因此,以上两幅截图很明显的说明Cream Finance网站DNS肯定发生了重大安全事故。

2 、关于Godaddy 的DNS解析服务器的说明

Godaddy 作为被广泛使用的DNS解析提供商在业内具有一定知名度,拥有自己的安全标准和较强的运维能力,也就是说通过单纯的外部技术一般很难完全控制某个客户的DNS解析服务。如果发生了重大劫持事件,最大可能就是客户内部管理不严谨造成,如客户内部的钓鱼攻击、内部人员失控以及内部隔离失效等因素被黑客有机可乘。

3、关于新的Cloudflare的DNS解析服务的说明

Cloudflare作为安全服务提供商,在DNS解析服务方面提供的安全力度会比Godaddy 更大,将DNS解析服务器迁移到Cloudflare势必会提高企业DNS解析的安全强度,这让仅凭单纯的技术手段去控制客户DNS解析服务变得更加困难。

企业微信截图_16158852693025.jpg

综上所述,网安信认为,造成本次安全事故的主要原因肯定不是单纯的外部技术手段攻击,而是Cream Finance内部安全管理不完善导致。本起安全事故直接导致很多钱包提供商把Cream Finance网站认定为危险网站禁止用户交易,但具体的用户损失还没有准确数据披露,网安信将会进一步观察和跟踪本起安全事件。

让DNS解析免遭劫持防护建议

Cream Finance网站DNS遭劫持事件告诉我们,安全事故往往是一件很小的疏忽造成的,因此,网安信建议在实际工作中,务必做好以下三点:1、制定严格的内部管理流程,对公司管理节点进行清晰的区域分割,对相关人员的权限进行分权管理,且随时根据公司的发展情况对管理节点进行定期更新维护。2、一定要选择可靠的DNS解析服务商进行合作。3、网站域名一定要安装HTTPS安全证书且保持更新。

来源:freebuf.com 2021-03-16 18:34:20 by: 网安信科技wax

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论