Хакеры атаковали DNS-серверы DeFi-проектов из числа клиентов Namecheap

С 23 июня ряд DeFi-проектов, включая Convex Finance, Allbridge, Ribbon Finance и DeFi Saver, столкнулся с атаками на DNS-серверы. Все они пользовались услугами регистратора доменных имен Namecheap.

So far 4 #ethereum DeFi projects experienced a DNS hijack attack.@ConvexFinance @ribbonfinance @DeFiSaver and Allbridge.They are all using @Namecheap and logged into their accounts to see DNS changed. So far namecheap has provided no explanation.@Namecheap this is serious pic.twitter.com/KD9w8GJAgp— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) June 24, 2022

24 июня команда Convex Finance сообщила, что злоумышленники захватили управление DNS-сервером проекта, чтобы предложить пользователям одобрить вредоносные смарт-контракты. 

В DeFi Saver заявили, что 23 июня столкнулись «с попыткой DNS-атаки». По информации разработчиков, никто из пользователей не пострадал — атаку оперативно вычислили и предприняли необходимые меры.

The attack was noticed in real time thanks to security alerts and the team swiftly reacted.Same as with others, strong passwords and 2fa were used and we don't recognise security factors on our end that could have led to this.We continue closely monitoring the situation.— DeFi Saver (@DeFiSaver) June 24, 2022

Команда Ribbon Finance также сообщила о DNS-атаке на сервер app.ribbon.finance. Разработчики заявили, что закрыли уязвимость, однако в ходе инцидента два пользователя одобрили вредоносные смарт-контракты. 

Аналитики платформы MistTrack отметили, что одна из жертв потеряла 16,5 WBTC (~$350 840 по курсу на момент написания). 

Ribbon Finance suffered a DNS hijacking attack. On-chain analysis showed that it was the same attacker as Convex. One victim lost 16.5 WBTC. Transaction details