L'attacco Compound e Celer potrebbe essere stato causato da un sistema di migrazione difettoso - esperti DNS
Traduzione effettuata da Deepl pro
Un attacco al sistema dei nomi di dominio (DNS) dell'11 luglio contro più protocolli Web3 potrebbe essere stato consentito da un sistema di migrazione da Google Domains a Squarespace difettoso, secondo diversi esperti di DNS. Secondo alcuni di questi esperti, i domini web tokenizzati ridurranno significativamente il rischio che questo tipo di attacchi si verifichi in futuro.
L'11 luglio, diversi protocolli Web3 sono stati presi di mira in un diffuso attacco di dirottamento DNS. L'investigatore di blockchain ZachXBT ha scoperto che il sito web di Compound finance reindirizzava a un sito di phishing dannoso progettato per rubare i token degli utenti. Più tardi nel corso della giornata, Celer Network ha annunciato che il suo sito web era stato preso di mira, anche se in questo caso l'attacco era stato rilevato e bloccato.
La società di sicurezza blockchain Blockaid ha riferito che l'attacco sembrava essere associato a "progetti ospitati su Squarespace", il che implica che la vulnerabilità potrebbe avere le sue radici nel sistema di registrazione dei domini di Squarespace.
In una conversazione del 12 luglio con Cointelegraph, Matt Gould, fondatore del protocollo di domini tokenizzati Unstoppable Domains, ha teorizzato che l'attacco potrebbe essere stato causato dalla migrazione degli utenti da Google Domains a Squarespace, che potrebbe aver permesso a questi utenti di diventare vittime di attacchi di phishing. Gould ha dichiarato:
"In questo momento, se siete clienti di Google Domains e dovete passare a Squarespace, dovete creare un nuovo account. Quindi sei un bersaglio facile e morbido per chi fa una campagna di phishing. Possono dire: "Ehi, devi creare il tuo nuovo account Squarespace. Non l'hai ancora fatto. Il tempo sta per scadere. Clicca su questo link."
In un post su X, Victor Zhou, fondatore del protocollo di dominio tokenizzato Namefi, ha espresso un parere simile. "Si [sospettava] [...] che la causa fosse probabilmente la registrazione di questi progetti da parte di Google Domains. Quando @Google ha venduto la sua attività di domini a @SquareSpace qualche mese fa, la migrazione ha comportato l'interruzione forzata dell'Autenticazione a più fattori, e gli aggressori sono stati in grado di comprometterla con una semplice password."
Anche un rapporto della società di cybersicurezza Security Alliance ha attribuito la responsabilità dell'hack a un processo di migrazione difettoso. Secondo il rapporto, "la spiegazione più probabile" o "la teoria più forte" è che Squarespace abbia assegnato automaticamente i domini in questione agli indirizzi e-mail di Google associati ai loro proprietari.
Questo ha permesso agli utenti di accedere ai loro domini subito dopo aver creato un account su Squarespace. Tuttavia, poiché Squarespace non richiede la verifica dell'e-mail per i nuovi account creati con una password, l'aggressore poteva accedere con la sola e-mail del proprietario dei domini Google. Security Alliance ha suggerito che questo errore potrebbe essersi verificato perché gli amministratori di Squarespace hanno dato per scontato che gli utenti avrebbero creato i loro account con un login di Google.
Il rapporto affermava:
"Sulla base di tutti i dati in nostro possesso, riteniamo che la spiegazione più probabile di quanto accaduto sia che Squarespace abbia dato per scontato che tutti gli utenti che migravano da Google Domains avrebbero utilizzato il metodo di login 'Continua con Google', [...]....] Squarespace non ha mai tenuto conto della possibilità che un attore minaccioso potesse registrarsi per un account utilizzando un'e-mail associata a un dominio migrato di recente[.
Cointelegraph ha contattato Squarespace per un commento, ma non ha ricevuto risposta prima della pubblicazione.
Gould ha suggerito che questo tipo di attacco potrebbe essere prevenuto in futuro se i protocolli Web3 tokenizzassero i loro domini e li conservassero su una rete blockchain.
"Se riusciamo a mettere i domini sulla catena, quando si deve fare un aggiornamento delle impostazioni DNS, si può chiedere al cliente di firmare un messaggio con la sua chiave", ha dichiarato. "E se si inserisce questo ulteriore passo di sicurezza, [...] allora non è possibile per qualcuno effettuare un phishing del vostro account [...] perché dovrebbe compromettere non solo il vostro account Squarespace, ma anche il vostro portafoglio, la vostra chiave"."
Per una maggiore protezione, un utente potrebbe implementare un requisito di due su tre firme multiple, in cui almeno due membri del team devono firmare una transazione per modificare le impostazioni DNS, ha affermato Gould.
Un'altra opzione più radicale sarebbe quella di mettere il registrar web stesso su catena. In questo caso, le migrazioni non sarebbero più necessarie. Cambiare fornitore sarebbe come passare da un commerciante all'altro. "Se tutti i record fossero stati onchain e avessero avuto bisogno di aggiornare il registrar, non avrebbero dovuto chiedere agli utenti di creare tutti nuovi account", ha dichiarato.
Zhou ha anche affermato che i domini tokenizzati aiuteranno a prevenire questo tipo di attacchi. "I nomi di dominio tokenizzati offrono la possibilità di attivare misure di sicurezza avanzate in base alla loro proprietà programmabile", ha dichiarato. Possono "abilitare la firma a soglia, il che significa che più utenti possono controllare il dominio insieme".
A differenza dei domini non tokenizzati, "dove l'MFA [autenticazione multifattoriale] può essere disattivata", i domini tokenizzati o basati su blockchain "assicurano che l'MFA sia controllata dal proprietario del dominio invece che da un intermediario come SquareSpace". E possono consentire un "meccanismo di recupero sociale" nel caso in cui il proprietario di un dominio perda la sua chiave privata, ha dichiarato Zhou.
Secondo Zhou, i domini tokenizzati "forniscono una base molto migliore per misure di sicurezza avanzate" rispetto all'attuale sistema centralizzato con cui i proprietari di domini hanno familiarizzato.
Nonostante questi potenziali miglioramenti della sicurezza, Nick Johnson, fondatore del protocollo per i domini tokenizzati Ethereum Name Service (ENS), ha avvertito che i sistemi di registro basati sulla blockchain non sono un proiettile d'argento che risolverà tutti i problemi di sicurezza. "Certamente i domini tokenizzati possono rendere più facile proteggersi dai rischi [...] dell'utente finale", ha dichiarato Johnson a Cointelegraph il 22 luglio. "Tokenizzare il proprio nome in modo che sia controllato da un account Ethereum, per esempio, significa che si può mettere dietro tutta la sicurezza che si applica al proprio account Ethereum"."
Tuttavia, Johnson ha avvertito che "ciò che non può fare è proteggere da problemi che provengono dal provider, come l'hack di Squarespace, perché essere in grado di compromettere il provider significa potenzialmente aggirare tutte quelle limitazioni."
Anche se la tokenizzazione dei domini "porta molti vantaggi", Johnson ha dichiarato, "non credo che intrinsecamente renda le cose più sicure." Un modo migliore per ottenere la sicurezza è quello di essere "straordinariamente attenti a chi si affida il gioiello della corona della propria organizzazione".
Johnson ha affermato che la maggior parte dei fornitori di domini tokenizzati "probabilmente hanno intrinsecamente un po' più di attenzione alla sicurezza rispetto alla media", e questo può spiegare la percezione che siano più sicuri. Ma questo non li rende "automaticamente più sicuri".
Secondo Johnson, il vantaggio principale della tokenizzazione dei domini è che permette ai proprietari di domini di registrare facilmente nomi utente Ethereum. Ad esempio, grazie a una partnership di ENS con GoDaddy, i proprietari di domini GoDaddy possono creare nomi utente Ethereum tramite ENS; per farlo, "basta selezionare una casella e inserire l'indirizzo a cui si desidera che il nome si risolva, e il gioco è fatto".
Secondo la pagina di aiuto di GoDaddy sull'argomento, il vantaggio principale per il proprietario di un sito web di avere un nome utente Ethereum è che consente di ricevere pagamenti per il proprio nome di dominio. Altrimenti, dovrebbero distribuire un indirizzo Ethereum a ogni utente che voglia inviare criptovaluta.
Gli attacchi DNS continuano a minacciare gli utenti di criptovalute. Il 23 luglio, appena 12 giorni dopo gli attacchi a Compound e Celer, anche la borsa di criptovalute dYdX ha visto la sua interfaccia utente v3 dirottata da un aggressore. In questo caso, l'aggressore ha iniettato un'app dannosa per il drenaggio di criptovalute direttamente nella funzione di connessione al portafoglio della borsa.
Fonte : Cointelegraph - Jul 25, 2024