Ведущая DEX на Base Aerodrome подверглась предполагаемому нарушению безопасности фронтенда

Aerodrome Finance, ведущая децентрализованная биржа в сети Base, подтвердила, что расследует предполагаемую атаку с подменой адреса DNS, которая скомпрометировала ее централизованные домены.

Протокол предупредил пользователей избегать доступа к своим основным доменам .finance и .box, и вместо этого использовать два безопасных децентрализованных зеркала, размещенных на инфраструктуре ENS.

Атака развивалась стремительно: пострадавшие пользователи сообщали о вредоносных запросах подписи, предназначенных для вывода различных активов, включая NFT, ETH и USDC, через запросы на неограниченное одобрение.

Хотя команда утверждает, что все смарт контракты остаются защищенными, компрометация фронтенда подвергла пользователей сложным фишинговым попыткам, которые могли опустошить кошельки тех, кто не внимательно следил за одобрениями транзакций.

Подмена адреса DNS вынуждает ввести экстренную блокировку протокола

Расследование Aerodrome началось, когда команда обнаружила необычную активность в своей основной доменной инфраструктуре примерно за шесть часов до выпуска публичных предупреждений.

Протокол немедленно отметил своего доменного провайдера, Box Domains, как потенциально скомпрометированного и призвал службу срочно связаться.

В течение нескольких часов команда подтвердила, что оба централизованных домена, .finance и .box, были взломаны и оставались под контролем атакующего.

Протокол отреагировал отключением доступа ко всем основным URL, одновременно создав две проверенные безопасные альтернативы: aero.drome.eth.limo и aero.drome.eth.link.

Эти децентрализованные зеркала используют Ethereum Name Service, который работает независимо от традиционных систем DNS, уязвимых для взлома.

Команда подчеркнула, что безопасность смарт-контракта оставалась нетронутой на протяжении всего инцидента, ограничивая нарушение исключительно точками доступа фронтенда.

Родственный протокол Velodrome столкнулся с аналогичными угрозами, что побудило его команду выпустить параллельные предупреждения о безопасности домена.

Скоординированный характер предупреждений предполагал, что атакующие могли систематически нацеливаться на инфраструктуру Box Domains, чтобы одновременно скомпрометировать несколько платформ DeFi.

Пользователи сообщают об агрессивных попытках вывода нескольких активов

Один из пострадавших пользователей описал встречу с вредоносным интерфейсом до распространения официальных предупреждений, детализируя, как скомпрометированный сайт развернул обманчивую двухэтапную атаку.

Взломанный фронтенд сначала запросил то, что казалось безвредной подписью, содержащей только цифру "1", устанавливая начальное соединение с кошельком.

Сразу после этого, казалось бы, безобидного запроса, интерфейс запустил неограниченное количество запросов на одобрение для NFT, ETH, USDC и WETH.

"Он запросил простую подпись, а затем мгновенно попытался получить неограниченные одобрения для вывода NFT, ETH и USDC", - сообщил пользователь. "Если бы вы не обращали внимания, вы могли бы потерять все."

Жертва задокументировала атаку с помощью скриншотов и видеозаписей, фиксируя прогрессию от первоначального запроса подписи до нескольких попыток вывода средств.

Их расследование, проведенное с помощью ИИ, изучило конфигурации браузера, расширения, настройки DNS и конечные точки RPC, прежде чем сделать вывод, что схема атаки соответствовала методологии подмены адреса DNS.

Другой член сообщества поделился опытом отдельного инцидента с выводом средств, описывая себя как опытного ветерана и фулл-стек разработчика, который все равно стал жертвой сложных атак.

Несмотря на технические знания, пользователь потерял значительные средства и потратил 3 дня на разработку скрипта на основе пакета Jito для восстановления примерно 10-15% украденных активов через скрытные операции в блокчейне.

Октябрь зафиксировал самые низкие потери от криптовзломов в этом году

Инцидент с Aerodrome произошел во время неожиданного октябрьского рубежа безопасности, когда криптовалютный рынок испытал самые низкие ежемесячные потери от взломов в этом году.

Данные от фирмы по безопасности блокчейна PeckShield показывают, что было украдено всего 18,18 миллионов $ в 15 отдельных инцидентах, что представляет собой резкое снижение на 85,7% по сравнению с 127,06 миллионами $ в сентябре.

Без эксплойта Garden Finance в конце месяца общие потери составили бы около 7,18 миллионов $, что является самым низким показателем за один месяц с начала 2023 года.

Крупнейшие инциденты произошли в Garden Finance, Typus Finance и Abracadabra, на которые в совокупности приходится 16,2 миллиона $ от общей суммы украденных средств.

Garden Finance, пиринговый протокол Bitcoin, раскрыл 30 октября, что был взломан более чем на 10 миллионов $ после того, как один из его решателей был скомпрометирован, причем нарушение затронуло только собственный инвентарь решателя.

Typus Finance пострадал от атаки манипуляции оракулом 15 октября, которая вывела примерно 3,4 миллиона $ из его пулов ликвидности, что было связано с ошибкой в одном из его контрактов TLP, что привело к падению нативного токена проекта примерно на 35%.

Платформа кредитования DeFi Abracadabra перенесла свой третий эксплойт с момента запуска примерно в то же время, что привело к потере примерно 1,8 миллиона $ в стейблкоине MIM после того, как хакеры обошли проверки платежеспособности через уязвимость смарт-контракта.