原文作者:余弦,慢雾科技创始人
DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享。
DNS可以让我们访问目标域名时找到对应的IP:
Domain->IP_REAL
如果这种指向关系被攻击者替换了:
Domain->IP_BAD(攻击者控制)
41,926枚BNB从未知钱包转移到Binance:金色财经报道,据WhaleAlert监测显示,北京时间约6:22,41,926枚BNB(12,920,846美元)从未知钱包转移到Binance。[2023/6/5 21:15:33]
那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。
DNS劫持其实分为好几种可能性,比如常见的有两大类:
域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;
某DYDX巨鲸将100万枚DYDX转入Wintermute,售价3.44美元:金色财经报道,Lookonchain在推特发文称,某DYDX巨鲸地址7小时前将100万枚DYDX出售给Wintermute,售价为$3.44,还于1月14日以1.5美元的售价将200万枚DYDX以300万USDC的价格出售给Wintermute。[2023/2/3 11:45:00]
在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。
第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。
数据:过去24小时,Decentraland活跃用户仅为38:10月8日消息,根据DappRadar的数据,过去24小时,Decentraland活跃用户仅为38,TheSandbox活跃用户为522。据悉,根据DappRadar的说法,活跃用户被定义为与平台智能合约交互的唯一钱包地址。这意味着DappRadar对每日活跃用户的汇总并没有考虑到那些登录并在元宇宙平台上闲逛或短暂参加某个活动的用户。
Decentraland回应表示,最近有很多关于Decentraland活跃用户数量的错误信息,一些网站仅跟踪特定的智能合约交易,但将其报告为每日活跃用户DAU,这是不准确的。Decentraland列举数据表示,在9月份,有56,697月活跃用户,1,074名用户与智能合约交互,1,732铸造Emotes,售出6,315件可穿戴设备,300位创作者获得版税,161个创建的社区活动,148个DAO提案。Decentraland指出,Decentraland基金会对活跃用户的定义是登录然后退出的用户。[2022/10/9 12:50:00]
第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。
Near 宣布推出稳定币 USN v2.0,将在现阶段 1:1 锚定稳定资产:7月1日消息,Near 宣布推出稳定币 USNv2.0版本。重新设计后的稳定币USN转变为灵活的模型,以 1:1 支持主要稳定的资产,并从NEAR质押奖励中获得可持续的本地收益,然后在未来重新引入非稳定币资产作为抵押品。
USN v2.0 计划分两个阶段执行,在熊市阶段,USN 将与 USDT 进行 1:1 支持,用户只能使用 USDT 铸造和兑换USN,在牛市阶段,将重新引入 NEAR ,用于铸造USN然后质押。
据了解,由于近期 UST 脱锚等一系列事件,Near稳定币设计团队Decentral Bank对USN进行了更复杂和更积极的模拟,鉴于熊市的不确定性以及宏观条件收紧引发的抛售压力,v1.0 可能会带来美元 NEAR 价格持续波动导致美元抵押不足的风险。因此团队重新设计了USN,使其尽可能适应最恶劣的市场条件。[2022/7/1 1:44:22]
重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。
对于项目方来说,除了对自己的域名HTTPSHSTS配置完备之外,可以常规做如下安全检查:
检查域名相关DNS记录(A及NS)是否正常;
检查域名在浏览器里的证书显示是否是自己配置的;
检查域名管理的相关平台是否开启了双因素认证;
检查Web服务请求日志及相关日志是否正常。
对于用户来说,防御要点好几条,我一一讲解下。
对于关键域名,坚决不以HTTP形式访问,比如:
http://examplecom
而应该始终HTTPS形式:
https://examplecom
如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。
对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。
那么这种情况下用户如何防御呢?
用户除了保持每一步操作的警惕外。
我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。
NoScript默认拦截植入的JavaScript文件。
但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。
隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。
但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的:
https://curvefi/js/app.ca2e5d81.js
植入了盗币有关的恶意代码。
如果我们之前NoScript信任了Curve,那么这次也可能中招。
可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过:
这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。
2022年8月8日,据美国财政部的海外资产控制办公室(TheOfficeofForeignAssetsControloftheUSDepartmentoftheTreasury.
1900/1/1 0:00:00尊敬的CoinW用户:币赢CoinW将于8月12日15:00(UTC8)进行OP4S、XETA6L、FTM6S、AVAX6S、AE6S、ATOM6S产品万倍合股.
1900/1/1 0:00:00原文作者:ThePrimedia研究员Spike??原文编辑:ThePrimedia发起人JerryCryptoDID:DecentralizedIdentity?DID:Dissociativ.
1900/1/1 0:00:001Menzy(MNZ)TokenSaleResultTheGate.ioStartupMenzy(MNZ)saleresultisasfollows:MNZStartupSaleAmount:1.
1900/1/1 0:00:00大家好,币圈经过了五六七三个月的“苦难折磨”,终于在即到来的八月份带来了曙光,人们常说历史总是相似的,去年的前半年的行情虽然谈不上大熊市,但也是说不上好的,总归是亏钱的比较多.
1900/1/1 0:00:00在当前的熊市中,加密期权交易一直是一个罕见的亮点,即使在加密价格暴跌的情况下也能形成势头。许多加密货币交易所在今年早些时候达到低点后注意到交易量上升.
1900/1/1 0:00:00