Aerodrome Finance, die führende DEX von Base, untersucht einen DNS-Hijacking-Angriff auf seine zentralisierten Domains, der Benutzer Phishing-Versuchen aussetzte, die auf NFTs, ETH und USDC durch bösartige Signaturanfragen abzielten.
Aerodrome Finance, die führende dezentrale Börse im Base-Netzwerk, bestätigte, dass sie einen vermuteten DNS-Hijacking-Angriff untersucht, der ihre zentralisierten Domains kompromittiert hat.
Das Protokoll warnte die Benutzer, den Zugriff auf seine primären .finance- und .box-Domains zu vermeiden und stattdessen zwei sichere dezentrale Mirrors zu verwenden, die auf der ENS-Infrastruktur gehostet werden.
Der Angriff entfaltete sich schnell, wobei betroffene Nutzer böswillige Signaturanfragen meldeten, die darauf abzielten, mehrere Vermögenswerte, einschließlich NFTs, ETH und USDC, durch unbegrenzte Genehmigungsaufforderungen abzuziehen.
Während das Team behauptet, dass alle Smart Contracts sicher bleiben, setzte der Frontend-Kompromiss die Benutzer ausgeklügelten Phishing-Versuchen aus, die die Wallets derjenigen, die die Transaktionsgenehmigungen nicht sorgfältig überwachten, hätten abziehen können.
DNS-Hijacking zwingt zur Notfallprotokoll-Sperrung
Die Untersuchung von Aerodrome begann, als das Team ungewöhnliche Aktivitäten auf seiner primären Domain-Infrastruktur etwa sechs Stunden vor der Veröffentlichung öffentlicher Warnungen feststellte.
Das Protokoll kennzeichnete sofort seinen Domainanbieter, Box Domains, als potenziell kompromittiert und drängte den Dienst, dringend Kontakt aufzunehmen.
Innerhalb von Stunden bestätigte das Team, dass beide zentralisierten Domains, .finance und .box, übernommen worden waren und unter der Kontrolle des Angreifers blieben.
Das Protokoll reagierte, indem es den Zugang zu allen primären URLs abschaltete, während es zwei verifiziert sichere Alternativen einrichtete: aero.drome.eth.limo und aero.drome.eth.link.
Diese dezentralen Spiegel nutzen den Ethereum Name Service, der unabhängig von traditionellen DNS-Systemen funktioniert, die anfällig für Hijacking sind.
Das Team betonte, dass die Sicherheit des Smart Contracts während des gesamten Vorfalls intakt blieb und der Vorfall ausschließlich auf Frontend-Zugriffspunkte beschränkt war.
Sister-Protokoll Velodrome sah sich ähnlichen Bedrohungen gegenüber, was das Team dazu veranlasste, parallele Warnungen zur Domainsicherheit herauszugeben.
Die koordinierte Natur der Warnungen deutete darauf hin, dass Angreifer möglicherweise systematisch die Infrastruktur von Box Domains angegriffen hatten, um mehrere DeFi-Plattformen gleichzeitig zu kompromittieren.
Benutzer berichten von aggressiven Mehrwertabzugsversuchen
Ein betroffener Benutzer beschrieb, wie er der bösartigen Schnittstelle begegnete, bevor offizielle Warnungen verbreitet wurden, und erläuterte, wie die kompromittierte Seite einen irreführenden zweistufigen Angriff durchführte.
Das gehackte Frontend forderte zunächst eine scheinbar harmlose Signatur an, die nur die Zahl „1“ enthielt, um die ursprüngliche Wallet-Verbindung herzustellen.
Unmittelbar nach dieser scheinbar harmlosen Anfrage löste die Schnittstelle eine unbegrenzte Anzahl von Genehmigungsaufforderungen für NFTs, ETH, USDC und WETH aus.
„Es wurde nach einer einfachen Signatur gefragt und dann sofort versucht, unbegrenzte Genehmigungen zu erhalten, um NFTs, ETH und USDC abzuziehen“, berichtete der Benutzer. „Wenn du nicht aufgepasst hättest, hättest du alles verlieren können.“
Das Opfer dokumentierte den Angriff durch Screenshots und Videoaufzeichnungen, die den Verlauf von der ursprünglichen Signaturanfrage bis zu mehreren Abzugsversuchen festhielten.
Ihre Untersuchung, die mit KI-Unterstützung durchgeführt wurde, untersuchte Browserkonfigurationen, Erweiterungen, DNS-Einstellungen und RPC-Endpunkte, bevor sie zu dem Schluss kam, dass das Angriffsmuster mit der Methode des DNS-Hijackings übereinstimmte.
Ein weiteres Community-Mitglied teilte kürzlich eine Erfahrung mit einem separaten, abziehenden Vorfall und beschrieb sich selbst als erfahrenen Veteranen und Full-Stack-Entwickler, der dennoch Opfer ausgeklügelter Angriffe wurde.
Trotz technischer Expertise verlor der Benutzer erhebliche Mittel und verbrachte 3 Tage damit, ein auf Jito-Bündeln basierendes Skript zu entwickeln, um etwa 10-15 % der gestohlenen Vermögenswerte durch On-Chain-Stealth-Operationen wiederzuerlangen.
Krypto-Journalist
Anas Hassan
