Basisnetzwerk Top-DEX Aerodrome von einem mutmaßlichen Frontend-Sicherheitsverstoß betroffen

Aerodrome Finance, die führende dezentralisierte Börse im Base-Netzwerk, bestätigte, dass sie einen vermuteten DNS-Hijacking-Angriff untersucht, der ihre zentralisierten Domains kompromittiert hat.

Das Protokoll warnte Benutzer davor, auf seine primären .finance- und .box-Domains zuzugreifen, und empfahl stattdessen zwei sichere dezentralisierte Mirrors, die auf der ENS-Infrastruktur gehostet werden.

Der Angriff entwickelte sich schnell, wobei betroffene Benutzer von bösartigen Signaturanfragen berichteten, die darauf abzielten, mehrere Vermögenswerte, darunter NFTs, ETH und USDC, durch unbegrenzte Genehmigungsaufforderungen abzuziehen.

Während das Team betont, dass alle Smart-Contracts sicher bleiben, setzte die Frontend-Kompromittierung Benutzer ausgeklügelten Phishing-Versuchen aus, die Wallets hätten leeren können, wenn Transaktionsgenehmigungen nicht sorgfältig überwacht wurden.

DNS-Hijacking erzwingt Notfall-Protokollsperre

Aerodromes Untersuchung begann, als das Team etwa sechs Stunden vor der Ausgabe öffentlicher Warnungen ungewöhnliche Aktivitäten in seiner primären Domain-Infrastruktur feststellte.

Das Protokoll markierte sofort seinen Domain-Anbieter, Box Domains, als möglicherweise kompromittiert und forderte den Dienst auf, dringend Kontakt aufzunehmen.

Innerhalb weniger Stunden bestätigte das Team, dass beide zentralisierten Domains, .finance und .box, gekapert wurden und unter der Kontrolle des Angreifers blieben.

Das Protokoll reagierte, indem es den Zugriff auf alle primären URLs sperrte und gleichzeitig zwei verifizierte sichere Alternativen einrichtete: aero.drome.eth.limo und aero.drome.eth.link.

Diese dezentralisierten Mirrors nutzen den Ethereum Name Service, der unabhängig von traditionellen DNS-Systemen arbeitet, die anfällig für Hijacking sind.

Das Team betonte, dass die Smart-Contract-Sicherheit während des gesamten Vorfalls intakt blieb und die Sicherheitsverletzung ausschließlich auf Frontend-Zugangspunkte beschränkt war.

Das Schwesterprotokoll Velodrome sah sich ähnlichen Bedrohungen gegenüber, was sein Team dazu veranlasste, parallele Warnungen zur Domain-Sicherheit herauszugeben.

Die koordinierte Art der Warnungen deutete darauf hin, dass Angreifer möglicherweise systematisch die Infrastruktur von Box Domains ins Visier genommen haben, um mehrere DeFi-Plattformen gleichzeitig zu kompromittieren.

Benutzer berichten über aggressive Versuche, mehrere Assets abzuziehen

Ein betroffener Benutzer beschrieb, wie er auf die bösartige Schnittstelle stieß, bevor offizielle Warnungen kursierten, und erläuterte, wie die kompromittierte Website einen täuschenden zweistufigen Angriff durchführte.

Das gekaperte Frontend forderte zunächst eine scheinbar harmlose Signatur an, die nur die Zahl "1" enthielt, und stellte so die erste Wallet-Verbindung her.

Unmittelbar nach dieser scheinbar harmlosen Anfrage löste die Schnittstelle eine unbegrenzte Anzahl von Genehmigungsaufforderungen für NFTs, ETH, USDC und WETH aus.

"Es bat um eine einfache Signatur und versuchte dann sofort, unbegrenzte Genehmigungen zu erhalten, um NFTs, ETH und USDC abzuziehen", berichtete der Benutzer. "Wenn man nicht aufgepasst hätte, hätte man alles verlieren können."

Das Opfer dokumentierte den Angriff durch Screenshots und Videoaufnahmen und erfasste den Fortschritt von der ersten Signaturanfrage bis zu mehreren Abzugsversuchen.

Ihre Untersuchung, die mit KI-Unterstützung durchgeführt wurde, untersuchte Browser-Konfigurationen, Erweiterungen, DNS-Einstellungen und RPC-Endpunkte, bevor sie zu dem Schluss kam, dass das Angriffsmuster mit der DNS-Hijacking-Methodik übereinstimmte.

Ein anderes Community-Mitglied teilte kürzlich eine Erfahrung mit einem separaten Abzugsvorfall und beschrieb sich selbst als erfahrenen Veteranen und Full-Stack-Entwickler, der dennoch Opfer ausgeklügelter Angriffe wurde.

Trotz technischer Expertise verlor der Benutzer erhebliche Mittel und verbrachte 3 Tage damit, ein Jito-Bundle-basiertes Skript zu entwickeln, um etwa 10-15% der gestohlenen Vermögenswerte durch On-Chain-Stealth-Operationen wiederzuerlangen.

Oktober verzeichnet niedrigste Krypto-Hack-Verluste des Jahres

Der Aerodrome-Vorfall ereignete sich während des unerwarteten Sicherheitsmeilensteins im Oktober, als der Kryptomarkt die niedrigsten monatlichen Hack-Verluste des Jahres verzeichnete.

Daten der Blockchain-Sicherheitsfirma PeckShield zeigen, dass nur 18,18 Millionen Dollar bei 15 separaten Vorfällen gestohlen wurden, was einem steilen Rückgang von 85,7% gegenüber den 127,06 Millionen Dollar im September entspricht.

Ohne den Garden Finance-Exploit vom Monatsende hätten sich die Gesamtverluste bei etwa 7,18 Millionen Dollar bewegt, dem niedrigsten Einzelmonatswert seit Anfang 2023.

Die größten Vorfälle ereigneten sich bei Garden Finance, Typus Finance und Abracadabra, die zusammen 16,2 Millionen Dollar der gestohlenen Gelder ausmachten.

Garden Finance, ein Bitcoin Peer-to-Peer-Protokoll, gab am 30. Oktober bekannt, dass es nach der Kompromittierung eines seiner Solver um mehr als 10 Millionen Dollar ausgenutzt wurde, wobei die Sicherheitsverletzung nur das eigene Inventar des Solvers betraf.

Typus Finance erlitt am 15. Oktober einen Oracle-Manipulationsangriff, der etwa 3,4 Millionen Dollar aus seinen Liquiditätspools abzog, zurückzuführen auf einen Fehler in einem seiner TLP-Verträge, der dazu führte, dass der native Token des Projekts um etwa 35% fiel.

Die DeFi-Kreditplattform Abracadabra erlitt etwa zur gleichen Zeit ihren dritten Exploit seit dem Start, was zu Verlusten von etwa 1,8 Millionen Dollar in MIM-Stablecoin führte, nachdem Hacker Solvenzchecks durch eine Smart-Contract-Schwachstelle umgangen hatten.