dYdX Exchange在$ 31k Squarespace帐户hack上发布验尸

dydx.exchange 域名于 7 月 23 日遭到入侵。攻击者设法更改 DNS 名称服务器并删除 DNSSEC 设置,托管一个恶意网站,诱骗用户转移以太坊和 ERC20 代币。

dYdX Exchange在$ 31k Squarespace帐户hack上发布验尸

根据対応檢查,竊聽事件发生在不具有授權的人通过社交工程攻击Squarespace客服而访问了dYdX Trading的Squarespace帳戶上。

在這段時間內,兩位用戶共失去了大約31,000美元。dYdX Trading正在和受到影響的用戶取得聯繫,以确保他們得到補償。

2023年,Squarespace收購了現已停業Google Domains所有域名,並在幾個月內進行迁移。dydx.exchange域名,屬於dYdX Trading,在2024年6月15日被移至Squarespace。

7月9日,攻擊者取得了dydx.exchange域名的控制權,並修改了Cloudflare的DNS名稱服務器為DDoS-Guard。

這次初始攻擊因DNSSEC設定而得到緩解,防止使用者訪問被竊聽的網站。dYdX很快就解決了這個問題,通過密碼和二重身驗證(2FA)的轉讓。

在相似的攻擊案例中,SEAL,一支資產財富聚焦的安全團隊,開展了一場調查。發現Squarespace上的OAuth漏洞已經被利用,Squarespace在7月12日對此進行了修正和補償。

儘管如此,dydx.exchange域名又一次被竊聽了,攻擊者成功更改了DNS名稱服務器,並刪除了DNSSEC設定,建立了一個偽造的網站,誘使用戶將Ethereum和ERC20代幣轉移。

在這段期間,dYdX和SEAL以及其他合作夥伴一起努力,在流行的 錢包中,例如Metamask和Phantom,阻止了偽造網站。儘管如此,兩位用戶在攻擊期間仍然失去了31,000美元。

対応檢查還表明,攻擊者設置了域管理郵件為end in outlook.com,帳戶用戶名字很像dYdX帳戶的法定名字,這表示是一場社交工程攻擊,攻擊者使用了一個可信的郵件地址。

根據dYdX的說明,它對Squarespace的通訊表明,一個人錯誤地導致了帳戶恢復過程中的竊聽。

攻擊者跨越了2FA,修改了帳戶電子郵件,而不提供有效的安全證明。Squarespace的客服對域管理員的其他列出帳戶沒有嘗試聯繫。

作為回應,dYdX轉移了域名注冊到Cloudflare,以加強安全性。這項轉移在六小時內完成。

dYdX肯定了其智能合約、後台系統或dYdX Chain在這些事件中沒有安全問題。

Read More