dYdX Exchange выпускает подробности о захвате домена
dydx.exchange был скомпрометирован 23 июля. Злоумышленникам удалось изменить DNS-имена серверов и удалить настройки DNSSEC, разместив вредоносный сайт, который обманом заставлял пользователей переводить эфир и токены стандарта ERC20
По результатам расследования, утечка произошла после того, как неавторизованные лица получили доступ к аккаунту dYdX Trading на Squarespace через социальную инженерию в службе поддержки Squarespace.
Во время двухчасового захвата домена биржи два пользователя потеряли средства на общую сумму около 31 000 долларов. dYdX Trading находится в контакте с пострадавшими пользователями, чтобы обеспечить им компенсацию.
В 2023 году Squarespace приобрела все домены от ныне несуществующего Google Domains, перенеся их в течение нескольких месяцев. Домен dydx.exchange, принадлежащий dYdX Trading, был перемещен на Squarespace 15 июня 2024 года.
9 июля злоумышленники получили доступ к домену dydx.exchange и изменили DNS-имена серверов с Cloudflare на DDoS-Guard.
Этот первоначальный взлом был предотвращен настройками DNSSEC, которые не позволяли пользователям получить доступ к скомпрометированному сайту. DYdX быстро решил проблему путем ротации паролей и двухфакторной аутентификации (2FA).
После сообщений о подобных атаках на криптовалютные домены SEAL, команда по кибербезопасности, специализирующаяся на криптовалютах, начала расследование. Было обнаружено, что уязвимость OAuth на Squarespace была использована, которую Squarespace исправила 12 июля.
Несмотря на это, домен dydx.exchange был скомпрометирован снова 23 июля. Злоумышленникам удалось изменить DNS-имена серверов и удалить настройки DNSSEC, разместив вредоносный сайт, который обманом заставлял пользователей переводить эфир и токены стандарта ERC20.
В течение этого периода dYdX сотрудничала с SEAL и другими партнерами, чтобы заблокировать вредоносные сайты на популярных криптокошельках, таких как MetaMask и Phantom. Несмотря на эти усилия, два пользователя потеряли 31 000 долларов во время атаки.
Расследование также показало, что злоумышленник изменил адрес электронной почты администратора домена на адрес, заканчивающийся на @outlook.com, с именем пользователя, похожим на имя законного администратора счета dYdX. Это указывало на социальную инженерию, поскольку злоумышленник использовал правдоподобное имя электронной почты.
Согласно dYdX, в ходе общения с Squarespace было установлено, что человеческая ошибка привела к захвату во время процесса восстановления учетной записи.
Злоумышленник обошел двухфакторную аутентификацию и изменил адрес электронной почты учетной записи без предоставления действительных учетных данных безопасности. Служба поддержки Squarespace не пыталась связаться ни с одним из других администраторов, указанных на домене, перед внесением этих изменений.
В ответ на атаку dYdX передала регистрацию своего домена на Cloudflare для повышения безопасности. Передача была завершена всего за шесть часов.
dYdX подтвердил, что в результате инцидентов не было никаких проблем с безопасностью его смарт-контрактов, бэкенд-систем или цепи dYdX.