Le principal DEX de Base, Aerodrome, touché par une suspicion de violation de sécurité du frontend

Aerodrome Finance, le principal échange décentralisé sur le réseau Base, a confirmé qu'il enquête sur une attaque présumée de détournement d'adresse DNS qui a compromis ses domaines centralisés.

Le protocole a averti les utilisateurs d'éviter d'accéder à ses domaines principaux .finance et .box et d'utiliser plutôt deux miroirs décentralisés sécurisés hébergés sur l'infrastructure ENS.

L'attaque s'est déroulée rapidement, les utilisateurs affectés signalant des demandes de signature malveillantes conçues pour vider plusieurs actifs, y compris des NFT, ETH et USDC, via des invites d'approbation illimitées.

Bien que l'équipe maintienne que tous les Smart Contracts (Contrats Intelligents) restent sécurisés, la compromission du frontend a exposé les utilisateurs à des tentatives d'hameçonnage sophistiquées qui auraient pu vider les portefeuilles de ceux qui ne surveillaient pas attentivement les approbations de transactions.

Le détournement d'adresse DNS force le verrouillage d'urgence du protocole

L'enquête d'Aerodrome a commencé lorsque l'équipe a détecté une activité inhabituelle sur son infrastructure de domaine principale environ six heures avant d'émettre des avertissements publics.

Le protocole a immédiatement signalé son fournisseur de domaine, Box Domains, comme potentiellement compromis et a exhorté le service à prendre contact de toute urgence.

En quelques heures, l'équipe a confirmé que les deux domaines centralisés, .finance et .box, avaient été détournés et restaient sous le contrôle de l'attaquant.

Le protocole a réagi en fermant l'accès à toutes les URL principales tout en établissant deux alternatives sûres vérifiées : aero.drome.eth.limo et aero.drome.eth.link.

Ces miroirs décentralisés s'appuient sur le service de noms Ethereum, qui fonctionne indépendamment des systèmes DNS traditionnels vulnérables au détournement.

L'équipe a souligné que la sécurité du Smart Contract (Contrat Intelligent) est restée intacte tout au long de l'incident, limitant la violation exclusivement aux points d'accès frontend.

Le protocole sœur Velodrome a fait face à des menaces similaires, incitant son équipe à émettre des avertissements parallèles concernant la sécurité du domaine.

La nature coordonnée des avertissements suggère que les attaquants ont peut-être systématiquement ciblé l'infrastructure de Box Domains pour compromettre simultanément plusieurs plateformes DeFi / Finance Décentralisée.

Les utilisateurs signalent des tentatives agressives de drainage multi-actifs

Un utilisateur affecté a décrit avoir rencontré l'interface malveillante avant que les avertissements officiels ne circulent, détaillant comment le site compromis a déployé une attaque trompeuse en deux étapes.

Le frontend détourné a d'abord demandé ce qui semblait être une signature inoffensive contenant uniquement le chiffre "1", établissant une connexion initiale au portefeuille.

Immédiatement après cette demande apparemment anodine, l'interface a déclenché un nombre illimité d'invites d'approbation pour les NFT, ETH, USDC et WETH.

"Il a demandé une signature simple, puis a instantanément essayé des approbations illimitées pour vider les NFT, ETH et USDC", a rapporté l'utilisateur. "Si vous n'étiez pas attentif, vous auriez pu tout perdre."

La victime a documenté l'attaque à travers des captures d'écran et des enregistrements vidéo, capturant la progression depuis la demande de signature initiale jusqu'aux multiples tentatives de drainage.

Leur enquête, menée avec l'assistance de l'IA, a examiné les configurations du navigateur, les extensions, les paramètres DNS et les points de terminaison RPC avant de conclure que le modèle d'attaque correspondait à la méthodologie de détournement d'adresse DNS.

Un autre membre de la communauté a partagé une expérience avec un incident de drainage distinct récemment, se décrivant comme un vétéran chevronné et un développeur full-stack qui est quand même tombé victime d'attaques sophistiquées.

Malgré son expertise technique, l'utilisateur a perdu des fonds importants et a passé 3 jours à développer un script basé sur des bundles Jito pour récupérer environ 10-15% des actifs volés grâce à des opérations furtives on-chain.

Octobre enregistre les plus faibles pertes dues aux piratages crypto de l'année

L'incident d'Aerodrome est survenu pendant l'étape de sécurité inattendue d'octobre, alors que le marché des cryptomonnaies a connu ses plus faibles pertes mensuelles dues aux piratages de l'année.

Les données de la société de sécurité blockchain PeckShield montrent que seulement 18,18 millions de dollars ont été volés à travers 15 incidents distincts, représentant une forte baisse de 85,7% par rapport aux 127,06 millions de dollars de septembre.

Sans l'exploitation de Garden Finance en fin de mois, les pertes totales auraient avoisiné les 7,18 millions de dollars, la valeur mensuelle la plus basse depuis début 2023.

Les incidents les plus importants se sont produits chez Garden Finance, Typus Finance et Abracadabra, qui représentaient collectivement 16,2 millions de dollars du total des fonds volés.

Garden Finance, un protocole Bitcoin peer-to-peer, a révélé le 30 octobre qu'il avait été exploité pour plus de 10 millions de dollars après qu'un de ses solveurs a été compromis, la violation n'affectant que l'inventaire propre du solveur.

Typus Finance a subi une attaque de manipulation d'oracle le 15 octobre qui a drainé environ 3,4 millions de dollars de ses pools de liquidité, attribuée à une faille dans l'un de ses contrats TLP qui a provoqué une chute d'environ 35% du token natif du projet.

La plateforme de prêt DeFi / Finance Décentralisée Abracadabra a subi sa troisième exploitation depuis son lancement à peu près au même moment, entraînant environ 1,8 million de dollars de pertes en stablecoin MIM après que des pirates informatiques ont contourné les vérifications de solvabilité grâce à une vulnérabilité du Smart Contract (Contrat Intelligent).