Aerodrome Finance, il principale DEX di Base, sta indagando su un attacco di dirottamento DNS sui suoi domini centralizzati che ha esposto gli utenti a tentativi di phishing mirati a NFT, ETH e USDC attraverso richieste di firma malevole.
Aerodrome Finance, il principale exchange decentralizzato sulla rete Base, ha confermato di stare indagando su un sospetto attacco di dirottamento DNS che ha compromesso i suoi domini centralizzati.
Il protocollo ha avvertito gli utenti di evitare di accedere ai suoi domini principali .finance e .box e di utilizzare invece due specchi decentralizzati sicuri ospitati su infrastruttura ENS.
L'attacco si è sviluppato rapidamente, con utenti colpiti che segnalavano richieste di firma malevole progettate per drenare più beni, inclusi NFT, ETH e USDC, attraverso richieste di approvazione illimitate.
Sebbene il team mantenga che tutti i contratti intelligenti rimangano sicuri, il compromesso del frontend ha esposto gli utenti a tentativi di phishing sofisticati che avrebbero potuto drenare i portafogli per coloro che non prestavano attenzione alle approvazioni delle transazioni.
Il dirottamento DNS costringe il protocollo di emergenza a chiudere
L'indagine di Aerodrome è iniziata quando il team ha rilevato attività insolita sulla sua infrastruttura di dominio principale circa sei ore prima di emettere avvisi pubblici.
Il protocollo ha immediatamente segnato il suo fornitore di domini, Box Domains, come potenzialmente compromesso e ha esortato il servizio a contattare urgentemente.
Nel giro di poche ore, il team ha confermato che entrambi i domini centralizzati, .finance e .box, erano stati dirottati e rimanevano sotto il controllo dell'attaccante.
Il protocollo ha risposto chiudendo l'accesso a tutti gli URL principali mentre stabiliva due alternative sicure verificate: aero.drome.eth.limo e aero.drome.eth.link.
Questi specchi decentralizzati sfruttano il servizio di denominazione Ethereum, che opera indipendentemente dai sistemi DNS tradizionali vulnerabili al dirottamento.
Il team ha sottolineato che la sicurezza del contratto intelligente è rimasta intatta durante l'incidente, contenendo la violazione esclusivamente ai punti di accesso frontend.
Il protocollo della sorella Velodrome ha affrontato minacce simili, spingendo il suo team a emettere avvisi paralleli sulla sicurezza del dominio.
La natura coordinata degli avvisi suggeriva che gli attaccanti potessero aver mirato sistematicamente all'infrastruttura di Box Domains per compromettere più piattaforme DeFi contemporaneamente.
Gli utenti segnalano tentativi aggressivi di drenaggio multi-asset
Un utente colpito ha descritto di aver incontrato l'interfaccia malevola prima che circolassero avvisi ufficiali, dettagliando come il sito compromesso avesse attuato un attacco ingannevole in due fasi.
Il frontend dirottato ha prima richiesto quella che sembrava essere una firma innocua contenente solo il numero “1,” stabilendo la connessione iniziale del portafoglio.
Immediatamente dopo questa richiesta apparentemente innocua, l'interfaccia ha attivato un numero illimitato di richieste di approvazione per NFT, ETH, USDC e WETH.
“Ha chiesto una semplice firma, poi ha provato istantaneamente approvazioni illimitate per drenare NFT, ETH e USDC,” ha riportato l'utente. “Se non prestavi attenzione, avresti potuto perdere tutto.”
La vittima ha documentato l'attacco tramite screenshot e registrazioni video, catturando il progresso dalla richiesta di firma iniziale attraverso più tentativi di drenaggio.
La loro indagine, condotta con l'assistenza dell'IA, ha esaminato configurazioni del browser, estensioni, impostazioni DNS e endpoint RPC prima di concludere che il modello dell'attacco era allineato con la metodologia di dirottamento DNS.
Un altro membro della comunità ha condiviso un'esperienza con un incidente separato di drenaggio di recente, descrivendosi come un veterano esperto e sviluppatore full-stack che è comunque caduto vittima di attacchi sofisticati.
Nonostante l'esperienza tecnica, l'utente ha perso fondi significativi e ha trascorso 3 giorni a sviluppare uno script basato su bundle Jito per recuperare circa il 10-15% degli asset rubati attraverso operazioni stealth on-chain.
Giornalista Crypto
Anas Hassan
