Децентралізовані платформи Aerodrome і Velodrome підтвердили, що масштабний DNS-злом реєстратора NameSilo призвів до компрометації їхніх доменів і перенаправлення користувачів на фішингові сторінки.
Атака призвела до того, що централізовані домени проєктів перенаправили на фішингові сторінки, що спричинило втрати користувачів на суму близько 700 тисяч доларів. Попри інцидент, децентралізована інфраструктура сервісів залишилася повністю працездатною.
Атака на домени та перші дії команд
Aerodrome і Velodrome 22 листопада підтвердили, що напередодні стали жертвами DNS-злому. У звіті зазначається, що невідомі отримали доступ до керування доменами через внутрішню компрометацію на стороні NameSilo. Після цього зловмисники вимкнули DNSSEC-захист і перенаправили офіційні домени на фішингові сторінки.
Команди оперативно попередили користувачів про “компрометацію фронтенду” та закликали негайно припинити взаємодію з вебверсіями бірж. Саме централізовані домени стали слабкою ланкою, тоді як ончейн-інфраструктура і децентралізовані dApps не постраждали.
Що кажуть розслідувачі та як вдалося зупинити атаку
За попередніми висновками, атаку здійснили через обхід мультисіг-контролю у системі 3DNS. Внаслідок цього інсайдер на стороні NameSilo отримав можливість змінити DNS-записи та підмінити трафік.
До швидкої локалізації інциденту долучилися Blockaid, 0xGroomLake, SEAL та FTI Consulting. Завдяки їхнім діям великі криптогаманці, включно з Metamask і Coinbase Wallet, уже за дві хвилини почали показувати попередження про підозрілі дії. Менше ніж за чотири години атака була повністю заблокована.
Попри швидке реагування, користувачі все ж втратили приблизно 700 тисяч доларів – це ті кошти, які були підписані на фішингових сторінках до повного відновлення контролю.
Міграція доменів і подальші зміни в роботі проєктів
Команди Aerodrome та Velodrome заявили, що не планують повертатися до колишньої інфраструктури NameSilo. Зараз вони працюють із провідними корпоративними реєстраторами та консультантами з безпеки. Міграцію доменів мають завершити протягом наступного тижня.
Для команд безпеки та користувачів буде доступний автономний режим запуску dApp, робота через приватні мережі, власні RPC-ендпоїнти та локальні брандмауери. Це має зменшити вплив майбутніх атак на централізовану DNS-інфраструктуру.
Окремо в Aerodrome та Velodrome готують грантову програму для компенсації користувачів, які втратили активи через підписання шкідливих транзакцій.
Це вже не перший подібний інцидент. У листопаді 2023 року обидва проєкти також повідомляли про злом фронтендів, що знову вказує на системні ризики централізованих DNS-систем для DeFi-платформ.
