decrypt.co
Tras el reciente ataque de secuestro de DNS a los protocolos de finanzas descentralizadas (DeFi), han surgido nuevas ideas sobre la posible magnitud y naturaleza de la brecha.
El incidente, destacado por varias fuentes, incluida la firma de seguridad blockchain Blockaid, involucró a atacantes que apuntaban a registros DNS alojados en Squarespace.
Esos registros fueron redirigidos a direcciones IP asociadas con actividades maliciosas conocidas, según Ido Ben-Natan, cofundador y CEO de Blockaid, dijo Decrypt.
El protocolo DeFi basado en Ethereum Compound y el protocolo de interoperabilidad multi-cadena Celer Network se vieron afectados el jueves, con sus respectivas interfaces redirigiendo a los visitantes a una página que vacía los fondos de las billeteras conectadas.
Aunque aún no se conoce la magnitud total del secuestro, aproximadamente 228 interfaces de protocolos DeFi siguen en riesgo, dijo Ben-Natan.
"La asociación con Inferno Drainer es clara, como se compartió en la infraestructura onchain y offchain," dijo Ben-Natan. "Esto incluye direcciones de billetera y contratos inteligentes on-chain, así como direcciones IP y dominios off-chain vinculados a Inferno."
El kit de billetera Inferno Drainer permite a los ciberdelincuentes robar fondos de usuarios desprevenidos. Opera solicitando a los usuarios firmar transacciones maliciosas que otorgan al atacante control sobre sus activos digitales.
Una vez que la transacción es firmada, el kit de drenaje transfiere rápidamente los fondos de la billetera de la víctima a la dirección del atacante. El kit suele ser desplegado a través de sitios de phishing o dominios comprometidos.
El grupo Inferno Drainer ha estado activo durante algún tiempo, apuntando a varios protocolos DeFi y explotando diferentes vulnerabilidades. Su uso de infraestructura compartida facilita a las empresas de seguridad rastrear e identificar ataques relacionados, algo que Ben-Natan señaló rápidamente.
"Blockaid puede rastrear las direcciones," señaló. "Nuestro equipo también ha estado trabajando estrechamente con la comunidad para asegurar que haya un canal abierto para reportar sitios comprometidos."
Al crear registros on-chain verificados para dominios, se puede ofrecer una capa adicional de protección para que los navegadores y otros sistemas puedan verificar, ayudando a compensar el riesgo de ataques DNS.
Así lo afirma Matthew Gould, fundador del proveedor de dominios Web3 Unstoppable Domains, en una publicación en X realizada el jueves.
Los registros DNS pueden configurarse para no actualizarse a menos que se proporcione una firma verificada on-chain, dijo.
Actualmente, para cambiar los registros DNS de los dominios Web3, los usuarios deben proporcionar una firma para su verificación antes de que se puedan realizar actualizaciones.
Aunque esto no utiliza un host espejo on-chain, aún requiere verificación de identidad del usuario para las actualizaciones, dijo Gould.
Además, podría agregarse una nueva característica donde las actualizaciones de DNS necesiten una firma de la billetera del usuario. Esto haría el ataque mucho más difícil para los hackers porque necesitarían hackear tanto al registrador como al usuario por separado, dijo el fundador.