Aerodrome Finance, DEX-ul de vârf al Base, investighează un atac de deturnare DNS asupra domeniilor sale centralizate care a expus utilizatorii la încercări de phishing vizând NFT-uri, ETH și USDC prin cereri de semnătură malițioase.
Aerodrome Finance, schimbul descentralizat de vârf de pe rețeaua Base, a confirmat că investighează un atac suspect de deturnare DNS care a compromis domeniile sale centralizate.
Protocolul a avertizat utilizatorii să evite accesarea domeniilor sale principale .finance și .box și să folosească în schimb două oglinzi descentralizate securizate găzduite pe infrastructura ENS.
Atacul s-a desfășurat rapid, utilizatorii afectați raportând solicitări de semnătură malițioase concepute pentru a drena multiple active, inclusiv NFT-uri, ETH și USDC, prin solicitări de aprobat nelimitate.
Deși echipa susține că toate contractele inteligente rămân sigure, compromiterea frontend-ului a expus utilizatorii la tentative sofisticate de phishing care ar fi putut drena portofelele celor care nu monitorizau cu atenție aprobările tranzacțiilor.
Deturnarea DNS Forțează Blocarea Protocolului de Urgență
Investigația Aerodrome a început când echipa a detectat activitate neobișnuită pe infrastructura sa de domeniu principal cu aproximativ șase ore înainte de a emite avertismente publice.
Protocolul a marcat imediat furnizorul său de domeniu, Box Domains, ca fiind potențial compromis și a îndemnat serviciul să ia legătura urgent.
În câteva ore, echipa a confirmat că ambele domenii centralizate, .finance și .box, fuseseră deturnate și rămâneau sub controlul atacatorului.
Protocolul a răspuns prin închiderea accesului la toate URL-urile principale, stabilind două alternative sigure verificate: aero.drome.eth.limo și aero.drome.eth.link.
Aceste oglinzi descentralizate valorifică Serviciul de Nume Ethereum, care funcționează independent de sistemele DNS tradiționale, vulnerabile la deturnare.
Echipa a subliniat că securitatea contractelor inteligente a rămas intactă pe parcursul incidentului, limitând breșa exclusiv la punctele de acces frontend.
Protocolul surorii Velodrom a întâmpinat amenințări similare, determinând echipa să emită avertismente paralele cu privire la securitatea domeniului.
Natura coordonată a avertismentelor sugerează că atacatorii ar fi putut ținti sistematic infrastructura Box Domains pentru a compromite simultan multiple platforme DeFi.
Utilizatori Raportează Încercări Agresive de Drenare Multi-Asset
Un utilizator afectat a descris întâlnirea cu interfața malițioasă înainte ca avertismentele oficiale să circule, detaliind cum site-ul compromis a desfășurat un atac în două etape înșelător.
Frontendul deturnat a solicitat inițial ceea ce părea a fi o semnătură inofensivă conținând doar numărul „1”, stabilind conexiunea inițială a portofelului.
Imediat după această solicitare aparent inofensivă, interfața a declanșat un număr nelimitat de solicitări de aprobat pentru NFT-uri, ETH, USDC și WETH.
„A cerut o semnătură simplă, apoi instantaneu a încercat aprobat nelimitat pentru a drena NFT-uri, ETH și USDC”, a raportat utilizatorul. „Dacă nu erai atent, ai fi putut pierde totul.”
Victima a documentat atacul prin capturi de ecran și înregistrări video, surprinzând progresia de la solicitarea inițială de semnătură până la multiplele încercări de drenare.
Investigația lor, efectuată cu asistența AI, a examinat configurațiile browserului, extensiile, setările DNS și punctele finale RPC înainte de a concluziona că modelul atacului se aliniază cu metodologia de deturnare DNS.
Un alt membru al comunității a împărtășit o experiență cu un incident de drenare separat recent, descriindu-se ca un veteran experimentat și dezvoltator full-stack care a căzut totuși victimă atacurilor sofisticate.
În ciuda expertizei tehnice, utilizatorul a pierdut fonduri semnificative și a petrecut 3 zile dezvoltând un script bazat pe un pachet Jito pentru a recupera aproximativ 10-15% din activele furate prin operațiuni discrețe pe lanț.
Jurnalist Crypto
Anas Hassan
