El principal DEX de Base, Aerodrome, afectado por una supuesta brecha de seguridad en el frontend

Aerodrome Finance, el principal exchange descentralizado en la red Base, confirmó que está investigando un presunto ataque de secuestro de direcciones DNS que comprometió sus dominios centralizados.

El protocolo advirtió a los usuarios que eviten acceder a sus dominios principales .finance y .box, y en su lugar utilicen dos espejos descentralizados seguros alojados en la infraestructura ENS.

El ataque se desarrolló rápidamente, con usuarios afectados reportando solicitudes de firma maliciosas diseñadas para drenar múltiples activos, incluyendo NFTs, ETH y USDC, a través de solicitudes de aprobación ilimitadas.

Mientras el equipo mantiene que todos los Smart Contracts siguen seguros, el compromiso del frontend expuso a los usuarios a sofisticados intentos de phishing que podrían haber vaciado las carteras de aquellos que no estaban monitoreando cuidadosamente las aprobaciones de transacciones.

El secuestro de direcciones DNS fuerza el bloqueo de emergencia del protocolo

La investigación de Aerodrome comenzó cuando el equipo detectó actividad inusual en su infraestructura de dominio principal aproximadamente seis horas antes de emitir advertencias públicas.

El protocolo inmediatamente marcó a su proveedor de dominio, Box Domains, como potencialmente comprometido e instó al servicio a comunicarse urgentemente.

En cuestión de horas, el equipo confirmó que ambos dominios centralizados, .finance y .box, habían sido secuestrados y permanecían bajo control del atacante.

El protocolo respondió cerrando el acceso a todas las URLs principales mientras establecía dos alternativas seguras verificadas: aero.drome.eth.limo y aero.drome.eth.link.

Estos espejos descentralizados aprovechan el Ethereum Name Service, que opera independientemente de los sistemas DNS tradicionales que son vulnerables al secuestro.

El equipo enfatizó que la seguridad del contrato inteligente permaneció intacta durante todo el incidente, conteniendo la brecha exclusivamente en los puntos de acceso frontend.

El protocolo hermano Velodrome enfrentó amenazas similares, lo que llevó a su equipo a emitir advertencias paralelas sobre la seguridad del dominio.

La naturaleza coordinada de las advertencias sugirió que los atacantes podrían haber atacado sistemáticamente la infraestructura de Box Domains para comprometer múltiples plataformas DeFi simultáneamente.

Usuarios reportan intentos agresivos de drenaje de múltiples activos

Un usuario afectado describió haber encontrado la interfaz maliciosa antes de que circularan las advertencias oficiales, detallando cómo el sitio comprometido desplegó un ataque engañoso de dos etapas.

El frontend secuestrado primero solicitó lo que parecía ser una firma inofensiva que contenía solo el número "1", estableciendo la conexión inicial de la cartera.

Inmediatamente después de esta solicitud aparentemente inocua, la interfaz activó un número ilimitado de solicitudes de aprobación para NFTs, ETH, USDC y WETH.

"Pidió una firma simple, luego intentó instantáneamente aprobaciones ilimitadas para drenar NFTs, ETH y USDC", informó el usuario. "Si no estabas prestando atención, podrías haber perdido todo."

La víctima documentó el ataque a través de capturas de pantalla y grabaciones de video, capturando la progresión desde la solicitud de firma inicial hasta múltiples intentos de drenaje.

Su investigación, realizada con asistencia de IA, examinó configuraciones de navegador, extensiones, configuraciones DNS y puntos finales RPC antes de concluir que el patrón de ataque se alineaba con la metodología de secuestro de direcciones DNS.

Otro miembro de la comunidad compartió una experiencia con un incidente de drenaje separado recientemente, describiéndose a sí mismo como un veterano experimentado y desarrollador full-stack que aún cayó víctima de ataques sofisticados.

A pesar de su experiencia técnica, el usuario perdió fondos significativos y pasó 3 días desarrollando un script basado en paquetes Jito para recuperar aproximadamente el 10-15% de los activos robados a través de operaciones sigilosas en cadena.

Octubre registra las menores pérdidas por hackeos cripto del año

El incidente de Aerodrome surgió durante el hito de seguridad inesperado de octubre, ya que el mercado cripto experimentó sus menores pérdidas mensuales por hackeos del año.

Los datos de la firma de seguridad blockchain PeckShield muestran que solo se robaron $18.18 millones en 15 incidentes separados, lo que representa una fuerte disminución del 85.7% desde los $127.06 millones de septiembre.

Sin la explotación de Garden Finance a finales de mes, las pérdidas totales habrían rondado los $7.18 millones, el valor mensual más bajo desde principios de 2023.

Los incidentes más grandes ocurrieron en Garden Finance, Typus Finance y Abracadabra, que en conjunto representaron $16.2 millones del total de fondos robados.

Garden Finance, un protocolo peer-to-peer de Bitcoin, reveló el 30 de octubre que había sido explotado por más de $10 millones después de que uno de sus solucionadores fuera comprometido, afectando la brecha solo al inventario propio del solucionador.

Typus Finance sufrió un ataque de manipulación de oráculo el 15 de octubre que drenó aproximadamente $3.4 millones de sus pools de liquidez, rastreado hasta un fallo en uno de sus contratos TLP que causó que el token nativo del proyecto cayera alrededor del 35%.

La plataforma de préstamos DeFi Abracadabra sufrió su tercer ataque desde su lanzamiento aproximadamente al mismo tiempo, resultando en aproximadamente $1.8 millones en pérdidas de stablecoin MIM después de que los hackers evitaran las verificaciones de solvencia a través de una vulnerabilidad en el contrato inteligente.