Провідна DEX мережі Base Aerodrome постраждала від підозрюваного порушення безпеки фронтенду

Aerodrome Finance, провідна децентралізована біржа в мережі Base, підтвердила, що розслідує підозру на атаку Викрадення адрес DNS, яка скомпрометувала її централізовані домени.

Протокол попередив користувачів уникати доступу до своїх основних доменів .finance та .box і натомість використовувати два безпечні децентралізовані дзеркала, розміщені на інфраструктурі ENS.

Атака розгорталася швидко, постраждалі користувачі повідомляли про шкідливі запити на підпис, призначені для виведення кількох активів, включаючи NFT, ETH та USDC, через необмежені запити на схвалення.

Хоча команда стверджує, що всі смартконтракти залишаються безпечними, компрометація фронтенду піддала користувачів складним фішинговим спробам, які могли спустошити гаманці тих, хто не уважно стежив за схваленнями транзакцій.

Викрадення DNS змушує до екстреного блокування протоколу

Розслідування Aerodrome почалося, коли команда виявила незвичну активність у своїй основній доменній інфраструктурі приблизно за шість годин до випуску публічних попереджень.

Протокол негайно позначив свого постачальника доменів, Box Domains, як потенційно скомпрометованого і закликав службу терміново зв'язатися.

Протягом кількох годин команда підтвердила, що обидва централізовані домени, .finance та .box, були викрадені і залишалися під контролем зловмисника.

Протокол відреагував, закривши доступ до всіх основних URL-адрес і створивши дві перевірені безпечні альтернативи: aero.drome.eth.limo та aero.drome.eth.link.

Ці децентралізовані дзеркала використовують Ethereum Name Service, який працює незалежно від традиційних систем DNS, вразливих до викрадення.

Команда підкреслила, що безпека смартконтрактів залишалася непорушною протягом усього інциденту, обмежуючи порушення виключно точками доступу до фронтенду.

Сестринський протокол Velodrome зіткнувся з подібними загрозами, що спонукало його команду випустити паралельні попередження щодо безпеки доменів.

Скоординований характер попереджень свідчив про те, що зловмисники могли систематично націлюватися на інфраструктуру Box Domains, щоб одночасно скомпрометувати кілька платформ DeFi.

Користувачі повідомляють про агресивні спроби виведення кількох активів

Один постраждалий користувач описав зустріч зі шкідливим інтерфейсом до поширення офіційних попереджень, детально розповівши, як скомпрометований сайт розгорнув оманливу двоетапну атаку.

Викрадений фронтенд спочатку запитував те, що здавалося нешкідливим підписом, що містив лише цифру "1", встановлюючи початкове з'єднання з гаманцем.

Відразу після цього, здавалося б, нешкідливого запиту, інтерфейс запустив необмежену кількість запитів на схвалення для NFT, ETH, USDC та WETH.

"Він попросив простий підпис, а потім миттєво спробував необмежені схвалення для виведення NFT, ETH та USDC", - повідомив користувач. "Якби ви не звертали уваги, ви могли б втратити все."

Жертва задокументувала атаку за допомогою скріншотів та відеозаписів, фіксуючи прогресію від початкового запиту на підпис через кілька спроб виведення.

Їхнє розслідування, проведене за допомогою ШІ, вивчило конфігурації браузера, розширення, налаштування DNS та кінцеві точки RPC, перш ніж дійти висновку, що схема атаки відповідала методології викрадення DNS.

Інший член спільноти поділився досвідом з окремим інцидентом виведення нещодавно, описуючи себе як досвідченого ветерана та розробника повного стеку, який все ж став жертвою складних атак.

Незважаючи на технічну експертизу, користувач втратив значні кошти і витратив 3 дні на розробку скрипта на основі пакету Jito, щоб відновити приблизно 10-15% вкрадених активів через ончейн операції прихованості.

Жовтень зафіксував найнижчі втрати від криптохакерства за рік

Інцидент з Aerodrome виник під час несподіваного жовтневого етапу безпеки, оскільки криптовалютний ринок зазнав найнижчих місячних втрат від хакерства за рік.

Дані від фірми з безпеки блокчейну PeckShield показують, що було вкрадено лише 18,18 мільйона доларів у 15 окремих інцидентах, що представляє різке зниження на 85,7% порівняно з 127,06 мільйона доларів у вересні.

Без експлойту Garden Finance наприкінці місяця загальні втрати склали б близько 7,18 мільйона доларів, найнижче значення за один місяць з початку 2023 року.

Найбільші інциденти сталися в Garden Finance, Typus Finance та Abracadabra, які разом становили 16,2 мільйона доларів від загальної суми вкрадених коштів.

Garden Finance, протокол Bitcoin peer-to-peer, розкрив 30 жовтня, що він був експлуатований на суму понад 10 мільйонів доларів після того, як один з його вирішувачів був скомпрометований, причому порушення вплинуло лише на власний інвентар вирішувача.

Typus Finance зазнав атаки маніпуляції оракулом 15 жовтня, яка вивела приблизно 3,4 мільйона доларів з його пулів ліквідності, що було пов'язано з недоліком в одному з його контрактів TLP, що призвело до падіння нативного токена проєкту приблизно на 35%.

Платформа кредитування DeFi Abracadabra зазнала свого третього експлойту з моменту запуску приблизно в той же час, що призвело до втрат приблизно 1,8 мільйона доларів у стейблкоїні MIM після того, як хакери обійшли перевірки платоспроможності через вразливість смартконтракту.