Aerodrome Finance, le DEX leader de Base, enquête sur une attaque par détournement DNS sur ses domaines centralisés qui a exposé les utilisateurs à des tentatives de phishing ciblant les NFT, ETH et USDC via des demandes de signature malveillantes.
Aerodrome Finance, le principal échange décentralisé sur le réseau Base, a confirmé qu'il enquêtait sur une attaque par détournement DNS suspectée qui a compromis ses domaines centralisés.
Le protocole a averti les utilisateurs d'éviter d'accéder à ses domaines principaux .finance et .box et d'utiliser plutôt deux miroirs décentralisés sécurisés hébergés sur l'infrastructure ENS.
L'attaque s'est déroulée rapidement, les utilisateurs affectés signalant des demandes de signature malveillantes conçues pour drainer plusieurs actifs, y compris des NFTs, ETH et USDC, à travers des invites d'approbation illimitées.
Bien que l'équipe maintienne que tous les contrats intelligents restent sécurisés, le compromis du frontend a exposé les utilisateurs à des tentatives de phishing sophistiquées qui auraient pu drainer les portefeuilles de ceux qui ne surveillaient pas attentivement les approbations de transaction.
Le détournement DNS force le verrouillage du protocole d'urgence
L'enquête d'Aerodrome a commencé lorsque l'équipe a détecté une activité inhabituelle sur son infrastructure de domaine principal environ six heures avant d'émettre des avertissements publics.
Le protocole a immédiatement signalé son fournisseur de domaine, Box Domains, comme potentiellement compromis et a exhorté le service à les contacter d'urgence.
En quelques heures, l'équipe a confirmé que les deux domaines centralisés, .finance et .box, avaient été détournés et restaient sous le contrôle de l'attaquant.
Le protocole a répondu en fermant l'accès à toutes les URL principales tout en établissant deux alternatives sûres vérifiées : aero.drome.eth.limo et aero.drome.eth.link.
Ces miroirs décentralisés tirent parti du Service de Noms Ethereum, qui fonctionne indépendamment des systèmes DNS traditionnels vulnérables au détournement.
L'équipe a souligné que la sécurité des contrats intelligents est restée intacte tout au long de l'incident, contenant la violation exclusivement aux points d'accès frontend.
Le protocole Sister Velodrome a été confronté à des menaces similaires, incitant son équipe à émettre des avertissements parallèles concernant la sécurité des domaines.
La nature coordonnée des avertissements a suggéré que les attaquants ont peut-être ciblé systématiquement l'infrastructure de Box Domains pour compromettre plusieurs plateformes DeFi simultanément.
Les utilisateurs signalent des tentatives de drainage agressives multi-actifs
Un utilisateur affecté a décrit avoir rencontré l'interface malveillante avant que les avertissements officiels ne circulent, détaillant comment le site compromis a déployé une attaque trompeuse en deux étapes.
Le frontend détourné a d'abord demandé ce qui semblait être une signature inoffensive contenant uniquement le chiffre « 1 », établissant la connexion initiale au portefeuille.
Immédiatement après cette demande apparemment innocente, l'interface a déclenché un nombre illimité d'invites d'approbation pour des NFTs, ETH, USDC et WETH.
« Il a demandé une simple signature, puis a instantanément essayé des approbations illimitées pour drainer des NFTs, ETH et USDC », a rapporté l'utilisateur. « Si vous ne faisiez pas attention, vous auriez pu tout perdre. »
La victime a documenté l'attaque par des captures d'écran et des enregistrements vidéo, capturant la progression de la demande de signature initiale à travers plusieurs tentatives de drainage.
Leur enquête, menée avec l'assistance de l'IA, a examiné les configurations de navigateur, les extensions, les paramètres DNS et les points de terminaison RPC avant de conclure que le modèle d'attaque correspondait à la méthodologie de détournement DNS.
Un autre membre de la communauté a partagé une expérience avec un incident de drainage séparé récemment, se décrivant comme un vétéran chevronné et développeur full-stack qui est néanmoins tombé victime d'attaques sophistiquées.
Malgré son expertise technique, l'utilisateur a perdu des fonds significatifs et a passé 3 jours à développer un script basé sur un bundle Jito pour récupérer environ 10-15 % des actifs volés à travers des opérations furtives sur la chaîne.
Journaliste Crypto
Anas Hassan
