Dne 21. listopadu byly centralizované domény Velodromu i Aerodromu uneseny a nasměrovány na škodlivý obsah. Tento útok byl rychle odhalen a zmírněn s podporou našich bezpečnostních partnerů — a plán, jak postupovat dál, je nyní připraven. 👇

TL; DR • Příčinou byl vnitřní bezpečnostní průnik ve společnosti NameSilo • Decentralizované domény zůstávají bezpečné a funkční • Centralizované domény s novou infrastrukturou spustí příští týden • Bylo konzultováno pět předních bezpečnostních firem • Uživatelé ovlivnění škodlivými doménami mají nárok na granty

Jak se odvětví rozrůstalo, útoky na centralizovanou doménovou infrastrukturu DeFi protokolů se staly tragicky běžnými. Jen v posledních několika letech desítky předních projektů utrpěly útoky centralizované domény od hrozebných aktérů.

Nejčastějším vektorem DNS útoků je sociální inženýrství, tedy kompromisní řešení centralizovaných služeb správy domén. Proto jsme po konzultaci s lídry v oboru zvolili využití 3DNS, který byl navržen tak, aby omezil takové vektory prostřednictvím multisig řízení.

Ačkoliv to mělo být bezpečnostní vylepšení oproti i těm nejrobustnějším centralizovaným službám, které jsou silné jen tak silně, jak silný je jejich nejslabší lidský článek, nyní je jasné, že vektory útoků v tomto modelu zůstaly přítomné.

Podle našich partnerů z 3DNS a NameSilo, kteří stále aktivně vyšetřují, byla kontrola multisig obejivána. DNSSEC byl odstraněn z obou domén a kompromitovaný insider v NameSilo dokázal domény přesměrovat na škodlivé stránky.

Díky rychlým zásahům @Blockaid_, @0xGroomLake, @_SEAL_Org a @FTIConsulting byly útoky rychle zmírněny. Do dvou minut od první známé škodlivé transakce začaly hlavní peněženky jako Metamask a Coinbase Wallet zobrazovat varování.

S ohledem na různé časy šíření oprav byl útok zcela zmírněn za méně než 4 hodiny – a jeho dopad byl omezen na přibližně 700 000 dolarů, které ztratili uživatelé, kteří se připojili a podepsali transakce na škodlivém webu, zatímco byl ještě aktivní.

Od útoku jsou 3DNS a NameSilo jak spolupracující, tak transparentní – a pokračují v vyšetřování příčin a změnách vlastních postupů, aby předešly budoucím problémům. Stále věříme v budoucnost robustního a bezpečného decentralizovaného doménového stacku.

Nicméně na radu našich bezpečnostních partnerů jsme se rozhodli neobnovovat centralizované domény na stejné infrastruktuře. Oceňujeme trpělivost uživatelů Velodrome a Aerodrome zde.

V současnosti spolupracujeme s našimi bezpečnostními poradci a vedoucími pracovníky některých z předních podnikových registrátorů, abychom dodali řešení, které splňuje jedinečné požadavky jedné z nejvýznamnějších aplikací DeFi. Očekáváme, že domény se příští týden přesunou a znovu otevřou.

Plánujeme také dát týmům zaměřeným na bezpečnost možnost stáhnout a provozovat dApps plně samostatně hostovaně. To znamená, že uživatelé budou moci používat Velodrome a Aerodrome za firewallem a privátními sítěmi se svými vlastními RPC endpointy.

Navíc nadace Aero + Velo pracují na plánu poskytovat uživatelům granty úměrné jejich ztrátám při podepisování škodlivých transakcí. Tyto programy budou podléhat požadavkům na ověření. Prozatím, pokud jste byli ovlivněni, otevřete prosím ticket na Discordu.

Pro úplný časový přehled útoku si prosím přečtěte kompletní zprávu hostovanou na IPFS, která je níže propojena: