Aerodrome Finance, le DEX leader de Base, enquĂȘte sur une attaque par dĂ©tournement DNS sur ses domaines centralisĂ©s qui a exposĂ© les utilisateurs Ă des tentatives de phishing ciblant les NFT, ETH et USDC via des demandes de signature malveillantes.
Aerodrome Finance, le principal Ă©change dĂ©centralisĂ© sur le rĂ©seau Base, a confirmĂ© qu'il enquĂȘtait sur une attaque par dĂ©tournement DNS suspectĂ©e qui a compromis ses domaines centralisĂ©s.
Le protocole a averti les utilisateurs d'éviter d'accéder à ses domaines principaux .finance et .box et d'utiliser plutÎt deux miroirs décentralisés sécurisés hébergés sur l'infrastructure ENS.
L'attaque s'est déroulée rapidement, les utilisateurs affectés signalant des demandes de signature malveillantes conçues pour drainer plusieurs actifs, y compris des NFTs, ETH et USDC, à travers des invites d'approbation illimitées.
Bien que l'équipe maintienne que tous les contrats intelligents restent sécurisés, le compromis du frontend a exposé les utilisateurs à des tentatives de phishing sophistiquées qui auraient pu drainer les portefeuilles de ceux qui ne surveillaient pas attentivement les approbations de transaction.
Le détournement DNS force le verrouillage du protocole d'urgence
L'enquĂȘte d'Aerodrome a commencĂ© lorsque l'Ă©quipe a dĂ©tectĂ© une activitĂ© inhabituelle sur son infrastructure de domaine principal environ six heures avant d'Ă©mettre des avertissements publics.
Le protocole a immédiatement signalé son fournisseur de domaine, Box Domains, comme potentiellement compromis et a exhorté le service à les contacter d'urgence.
En quelques heures, l'équipe a confirmé que les deux domaines centralisés, .finance et .box, avaient été détournés et restaient sous le contrÎle de l'attaquant.
Le protocole a répondu en fermant l'accÚs à toutes les URL principales tout en établissant deux alternatives sûres vérifiées : aero.drome.eth.limo et aero.drome.eth.link.
Ces miroirs décentralisés tirent parti du Service de Noms Ethereum, qui fonctionne indépendamment des systÚmes DNS traditionnels vulnérables au détournement.
L'équipe a souligné que la sécurité des contrats intelligents est restée intacte tout au long de l'incident, contenant la violation exclusivement aux points d'accÚs frontend.
Le protocole Sister Velodrome a été confronté à des menaces similaires, incitant son équipe à émettre des avertissements parallÚles concernant la sécurité des domaines.
La nature coordonnĂ©e des avertissements a suggĂ©rĂ© que les attaquants ont peut-ĂȘtre ciblĂ© systĂ©matiquement l'infrastructure de Box Domains pour compromettre plusieurs plateformes DeFi simultanĂ©ment.
Les utilisateurs signalent des tentatives de drainage agressives multi-actifs
Un utilisateur affecté a décrit avoir rencontré l'interface malveillante avant que les avertissements officiels ne circulent, détaillant comment le site compromis a déployé une attaque trompeuse en deux étapes.
Le frontend dĂ©tournĂ© a d'abord demandĂ© ce qui semblait ĂȘtre une signature inoffensive contenant uniquement le chiffre « 1 », Ă©tablissant la connexion initiale au portefeuille.
Immédiatement aprÚs cette demande apparemment innocente, l'interface a déclenché un nombre illimité d'invites d'approbation pour des NFTs, ETH, USDC et WETH.
« Il a demandé une simple signature, puis a instantanément essayé des approbations illimitées pour drainer des NFTs, ETH et USDC », a rapporté l'utilisateur. « Si vous ne faisiez pas attention, vous auriez pu tout perdre. »
La victime a documenté l'attaque par des captures d'écran et des enregistrements vidéo, capturant la progression de la demande de signature initiale à travers plusieurs tentatives de drainage.
Leur enquĂȘte, menĂ©e avec l'assistance de l'IA, a examinĂ© les configurations de navigateur, les extensions, les paramĂštres DNS et les points de terminaison RPC avant de conclure que le modĂšle d'attaque correspondait Ă la mĂ©thodologie de dĂ©tournement DNS.
Un autre membre de la communauté a partagé une expérience avec un incident de drainage séparé récemment, se décrivant comme un vétéran chevronné et développeur full-stack qui est néanmoins tombé victime d'attaques sophistiquées.
Malgré son expertise technique, l'utilisateur a perdu des fonds significatifs et a passé 3 jours à développer un script basé sur un bundle Jito pour récupérer environ 10-15 % des actifs volés à travers des opérations furtives sur la chaßne.
Journaliste Crypto
Anas Hassan
