Aerodrome Finance, ведущая DEX Base, расследует атаку захвата DNS на свои централизованные домены, которая подвергла пользователей риску фишинга, нацеленного на NFTs, ETH и USDC через злонамеренные запросы на подпись.
Aerodrome Finance, ведущая децентрализованная биржа в сети Base, подтвердила, что она расследует подозрительную атаку захвата DNS, которая скомпрометировала ее централизованные домены.
Протокол предупредил пользователей избегать доступа к его основным доменам .finance и .box и вместо этого использовать два безопасных децентрализованных зеркала, размещенных на инфраструктуре ENS.
Атака развернулась быстро, при этом пострадавшие пользователи сообщили о вредоносных запросах подписей, направленных на исчерпание нескольких активов, включая NFT, ETH и USDC, через запросы на неограниченное одобрение.
Хотя команда утверждает, что все смарт-контракты остаются безопасными, компрометация фронтенда подвергла пользователей сложным фишинговым атакам, которые могли привести к выводу средств с кошельков тех, кто не внимательно отслеживал запросы на одобрение транзакций.
Хищение DNS вынудило срочно ввести протокол блокировки
Расследование Aerodrome началось, когда команда обнаружила необычную активность в своей основной инфраструктуре доменов примерно за шесть часов до публичных предупреждений.
Протокол немедленно отметил провайдера доменов Box Domains как потенциально скомпрометированный и настоятельно призвал службу срочно связаться с ними.
В течение нескольких часов команда подтвердила, что централизованные домены .finance и .box были захвачены и оставались под контролем злоумышленника.
Протокол ответил, заблокировав доступ ко всем основным URL, одновременно создав два проверенных безопасных альтернативных варианта: aero.drome.eth.limo и aero.drome.eth.link.
Эти децентрализованные зеркала используют Ethereum Name Service, который функционирует независимо от традиционных систем DNS, уязвимых к хищению.
Команда подчеркнула, что безопасность смарт-контрактов оставалась неповреждённой на протяжении всего инцидента, ограничивая уязвимость исключительно точками доступа к фронтенду.
Протокол сестры Velodrome столкнулся с аналогичными угрозами, что побудило его команду выпустить параллельные предупреждения о безопасности доменов.
Скоординированный характер предупреждений указывает на то, что злоумышленники могли систематически целиться в инфраструктуру Box Domains, чтобы одновременно скомпрометировать несколько платформ DeFi.
Пользователи сообщают о агрессивных попытках многократного вывода активов
Один из пострадавших пользователей описал встречу с вредоносным интерфейсом до распространения официальных предупреждений, подробно рассказав, как скомпрометированный сайт внедрил обманную двухэтапную атаку.
Подменённый фронтенд сначала запросил, казалось бы, безобидную подпись, содержащую только число «1», что установило первоначальное подключение ко кошельку.
Немедленно после этого, казалось бы, безобидного запроса интерфейс инициировал неограниченное количество запросов на одобрение для NFT, ETH, USDC и WETH.
«Он запросил простую подпись, а затем мгновенно попытался получить неограниченное одобрение для вывода NFT, ETH и USDC», — сообщил пользователь. «Если вы не были внимательны, вы могли потерять всё».
Жертва зафиксировала атаку с помощью скриншотов и видеозаписей, захватив ход от первоначального запроса подписи до нескольких попыток вывода средств.
Их расследование, проводившееся с помощью ИИ, изучило настройки браузера, расширения, параметры DNS и RPC-конечные точки, прежде чем сделать вывод, что модель атаки соответствует методологии хищения DNS.
Еще один член сообщества поделился опытом отдельной атаки, приведшей к выводу средств, описав себя как опытного специалиста и разработчика полного цикла, который всё же стал жертвой сложных атак.
Несмотря на техническую квалификацию, пользователь потерял значительные средства и потратил три дня на разработку скрипта на основе Jito-бандла, чтобы восстановить примерно 10–15% украденных активов с помощью скрытых операций на цепочке.
Крипто-журналист
Анас Хассан
