
L'attaque Compound et Celer pourrait avoir été causée par un système de migration défectueux - experts en DNS
Traduction faite par Deepl pro
Une attaque du système de noms de domaine (DNS) du 11 juillet contre plusieurs protocoles Web3 pourrait avoir été permise par un système défectueux de migration de Google Domains vers Squarespace, selon plusieurs experts du DNS. Selon certains de ces experts, les domaines web tokenisés réduiront considérablement le risque que ce type d'attaques se produise à l'avenir.
Le 11 juillet, plusieurs protocoles Web3 ont été ciblés dans une attaque de détournement DNS généralisée. Le chercheur en blockchain ZachXBT a découvert que le site web de Compound finance redirigeait vers un site d'hameçonnage malveillant conçu pour voler les jetons des utilisateurs. Plus tard dans la journée, Celer Network a annoncé que son site web avait été ciblé, bien que dans ce cas l'attaque ait été détectée et bloquée.
L'entreprise de sécurité blockchain Blockaid a signalé que l'attaque semblait être associée à des "projets hébergés sur Squarespace", ce qui implique que la vulnérabilité pourrait avoir ses racines dans le système d'enregistrement de domaine de Squarespace.
Dans une conversation du 12 juillet avec Cointelegraph, Matt Gould, fondateur du protocole de domaine tokenisé Unstoppable Domains, a émis l'hypothèse que l'attaque pourrait avoir été causée par la migration des utilisateurs de Google Domains vers Squarespace, ce qui pourrait avoir permis à ces utilisateurs d'être victimes d'attaques par hameçonnage. Gould a déclaré:
"Actuellement, si vous êtes un client de Google Domains et que vous avez besoin de passer à Squarespace, vous devez créer un nouveau compte. Vous êtes donc une cible facile pour une campagne d'hameçonnage. Il peut dire : "Hé, vous devez créer votre nouveau compte Squarespace. Vous ne l'avez pas encore fait. Votre temps est compté. Cliquez sur ce lien.'"
Dans un message sur X, Victor Zhou, fondateur du protocole de domaine tokenisé Namefi, a exprimé un point de vue similaire. "Il [était soupçonné] [...] que la cause était probablement que ces projets étaient enregistrés par Google Domains. Lorsque @Google a vendu son activité de domaines à @SquareSpace il y a quelques mois, la migration a impliqué la résiliation forcée de l'authentification multifactorielle, et les attaquants ont pu la compromettre avec un simple mot de passe."
Un rapport de la société de cybersécurité Security Alliance a également imputé le piratage à un processus de migration défectueux. Selon ce rapport, "l'explication la plus probable" ou "la théorie la plus solide" est que Squarespace a automatiquement attribué les domaines concernés aux adresses électroniques Google associées à leurs propriétaires.
Cela a permis aux utilisateurs d'accéder à leurs domaines immédiatement après avoir créé un compte sur Squarespace. Cependant, comme Squarespace n'exige pas de vérification de l'adresse électronique pour les nouveaux comptes créés avec un mot de passe, l'attaquant a pu se connecter en utilisant uniquement l'adresse électronique du propriétaire du domaine Google. Security Alliance a suggéré que cette erreur a pu se produire parce que les administrateurs de Squarespace ont supposé que les utilisateurs créeraient leurs comptes avec un identifiant Google.
Le rapport indique:
"Sur la base de toutes les données dont nous disposons, nous pensons que l'explication la plus probable de ce qui s'est passé est que Squarespace a supposé que tous les utilisateurs migrant de Google Domains utiliseraient la méthode d'identification "Continuer avec Google", [....] Squarespace n'a jamais pris en compte la possibilité qu'un acteur menaçant puisse ouvrir un compte en utilisant un courriel associé à un domaine ayant récemment migré [.
Cointelegraph a contacté Squarespace pour obtenir des commentaires, mais n'a pas reçu de réponse avant la publication.
Gould a suggéré que ce type d'attaque pourrait être évité à l'avenir si les protocoles Web3 tokenisent leurs domaines et les conservent sur un réseau de blockchain.
"Si nous pouvons mettre les domaines sur la chaîne, lorsque vous devez mettre à jour vos paramètres DNS, vous pouvez demander au client de signer un message avec sa clé", a-t-il déclaré. "Et si vous mettez cette étape de sécurité supplémentaire là-dedans, [...] alors il n'est pas possible pour quelqu'un d'hameçonner votre compte [...] parce qu'ils devraient compromettre non seulement votre compte Squarespace, mais ils devraient également compromettre votre portefeuille, votre clé."
Pour une protection supplémentaire, un utilisateur pourrait mettre en place une exigence de multisignature de deux sur trois, où au moins deux membres de l'équipe doivent signer une transaction pour modifier les paramètres DNS, a affirmé Gould.
Une autre option plus radicale consisterait à placer le registraire web lui-même sur la chaîne de valeur. Dans ce cas, les migrations ne seraient plus nécessaires. Changer de fournisseur reviendrait à passer d'un commerçant à un autre. "Si tous les enregistrements ont été placés sur la chaîne et qu'ils ont besoin de mettre à jour le registraire, ils n'auraient pas à demander aux utilisateurs de créer de nouveaux comptes", a-t-il déclaré.
Zhou a également affirmé que les domaines à jetons aideront à prévenir ce type d'attaques. "Les noms de domaine à jetons offrent la possibilité d'activer des mesures de sécurité avancées sur la base de leur propriété programmable", a-t-il déclaré. Ils "peuvent activer la signature par seuil, ce qui signifie que plusieurs utilisateurs peuvent contrôler le domaine ensemble."
Contrairement aux domaines non tokenisés, "où votre MFA [authentification multifactorielle] peut être désactivée", les domaines tokenisés ou basés sur la blockchain "garantissent que le MFA est contrôlé par le propriétaire du domaine au lieu d'un intermédiaire comme SquareSpace." Et ils peuvent permettre un "mécanisme de récupération sociale" au cas où un propriétaire de domaine perdrait sa clé privée, a déclaré Zhou.
De l'avis de Zhou, les domaines à jetons "fournissent une bien meilleure base pour les mesures de sécurité avancées" que le système centralisé actuel avec lequel les propriétaires de domaines se sont familiarisés.
Malgré ces améliorations potentielles de la sécurité, Nick Johnson, fondateur du protocole de domaine tokenisé Ethereum Name Service (ENS), a averti que les systèmes de registre basés sur la blockchain ne sont pas une solution miracle qui résoudra tous les problèmes de sécurité. "Il est certain que les domaines tokenisés peuvent faciliter la protection contre [...] les risques au niveau de l'utilisateur", a déclaré Nick Johnson à Cointelegraph le 22 juillet. "Tokéniser votre nom pour qu'il soit contrôlé par un compte Ethereum, par exemple, signifie que vous pouvez mettre toute la sécurité qui s'applique à votre compte Ethereum derrière lui."
Cependant, il a averti que "ce que cela ne peut pas faire, c'est protéger contre les problèmes qui viennent du fournisseur, comme le piratage de Squarespace, parce qu'être capable de compromettre le fournisseur signifie que vous pouvez potentiellement contourner toutes ces limitations."
Bien que la tokenisation des domaines "apporte beaucoup d'avantages", a déclaré Johnson, "je ne pense pas qu'elle rende intrinsèquement les choses plus sûres." Une meilleure façon d'assurer la sécurité est de "faire très attention aux personnes à qui vous confiez les joyaux de votre organisation".
Johnson a affirmé que la plupart des fournisseurs de domaines à jetons "se concentrent probablement intrinsèquement un peu plus sur la sécurité que la moyenne", ce qui peut expliquer la perception qu'ils sont plus sûrs. Mais cela ne les rend pas "automatiquement plus sûrs"."
Selon Johnson, le principal avantage de la tokenisation des domaines est qu'elle permet aux propriétaires de domaines d'enregistrer facilement des noms d'utilisateur Ethereum. Par exemple, grâce à un partenariat entre ENS et GoDaddy, les propriétaires de domaines GoDaddy peuvent créer des noms d'utilisateur Ethereum par le biais d'ENS, et pour ce faire, ils "cochent simplement une case et entrent l'adresse à laquelle vous voulez que votre nom soit résolu, et vous avez terminé."
Selon la page d'aide de GoDaddy sur le sujet, le principal avantage pour un propriétaire de site Web d'avoir un nom d'utilisateur Ethereum est qu'il leur permet de recevoir des paiements pour leur nom de domaine. Sinon, ils devraient distribuer une adresse Ethereum à chaque utilisateur qui souhaite leur envoyer de la crypto-monnaie.
Les attaques DNS continuent de menacer les utilisateurs de crypto-monnaies. Le 23 juillet, 12 jours seulement après les attaques contre Compound et Celer, la bourse de crypto-monnaies dYdX a également vu son interface utilisateur v3 détournée par un attaquant. Dans ce cas, l'attaquant a injecté une application malveillante de drainage de crypto-monnaie directement dans la fonction de connexion au portefeuille de la bourse.
Source : Cointelegraph - Jul 25, 2024