21 listopada zcentralizowane domeny zarówno Velodrome, jak i Aerodrome zostały przejęte i skierowane na złośliwe treści. Atak ten został szybko wykryty i złagodzony dzięki wsparciu naszych partnerów ds. bezpieczeństwa — a plan na przyszłość jest już gotowy. 👇

TL;DR • Przyczyną był wewnętrzny naruszenie bezpieczeństwa w NameSilo • Zdecentralizowane domeny pozostają bezpieczne i działają • Zcentralizowane domeny z nową infrastrukturą będą uruchomione w przyszłym tygodniu • Konsultowano pięć wiodących firm zajmujących się bezpieczeństwem • Użytkownicy dotknięci złośliwymi domenami kwalifikują się do dotacji

W miarę jak branża się rozwijała, ataki na scentralizowaną infrastrukturę domenową protokołów DeFi stały się tragicznie powszechne. Tylko w ciągu ostatnich kilku lat dziesiątki czołowych projektów padły ofiarą ataków na scentralizowane domeny ze strony aktorów zagrożeń.

Najczęstszym wektorem ataków DNS jest inżynieria społeczna lub kompromitacja scentralizowanych usług zarządzania domenami. Dlatego po konsultacjach z liderami branży zdecydowaliśmy się na wykorzystanie 3DNS, które zostało zaprojektowane w celu ograniczenia takich wektorów za pomocą kontroli multisig.

Chociaż powinno to być ulepszenie bezpieczeństwa w porównaniu nawet do najbardziej solidnych usług scentralizowanych, które są tylko tak silne, jak ich najsłabsze ogniwo ludzkie, teraz jest jasne, że wektory ataku w tym modelu pozostały obecne.

Zgodnie z informacjami od naszych partnerów z 3DNS i NameSilo, którzy wciąż prowadzą aktywne dochodzenie, kontrola multisig została obejścia. DNSSEC został usunięty z obu domen, a skompromitowany pracownik w NameSilo był w stanie przekierować domeny na złośliwe strony.

Dzięki szybkim działaniom @Blockaid_, @0xGroomLake, @_SEAL_Org i @FTIConsulting, ataki zostały szybko złagodzone. W ciągu 2 minut od pierwszej znanej złośliwej transakcji, główne portfele, takie jak Metamask i Coinbase Wallet, wyświetlały ostrzeżenia.

Biorąc pod uwagę różne czasy propagacji poprawek, atak został całkowicie zneutralizowany w mniej niż 4 godziny - a jego wpływ ograniczył się do około 700 000 USD straty poniesionej przez użytkowników, którzy łączyli się i podpisywali transakcje na złośliwej stronie, gdy była ona jeszcze aktywna.

Od czasu ataku, 3DNS i NameSilo były zarówno współpracujące, jak i przejrzyste - i nadal prowadzą dochodzenie w sprawie przyczyn oraz przeglądają swoje praktyki, aby zapobiec przyszłym problemom. Nadal wierzymy w przyszłość solidnej i bezpiecznej zdecentralizowanej struktury domen.

Jednak na zalecenie naszych partnerów ds. bezpieczeństwa zdecydowaliśmy się nie przywracać z powrotem scentralizowanych domen na tej samej infrastrukturze. Doceniamy cierpliwość użytkowników Velodrome i Aerodrome w tej sprawie.

Obecnie współpracujemy z naszymi doradcami ds. bezpieczeństwa oraz kierownictwem niektórych z czołowych rejestratorów przedsiębiorstw, aby dostarczyć rozwiązanie, które spełnia unikalne wymagania jednej z najbardziej prominentnych aplikacji DeFi. Spodziewamy się, że domeny zostaną przeniesione i ponownie otwarte w przyszłym tygodniu.

Planujemy również dać zespołom skoncentrowanym na bezpieczeństwie możliwość pobrania i uruchomienia dApps w pełni samodzielnie. Oznacza to, że użytkownicy będą mogli korzystać z Velodrome i Aerodrome za zaporami ogniowymi i w prywatnych sieciach z własnymi punktami końcowymi RPC.

Dodatkowo, fundacje Aero + Velo pracują nad planem oferowania dotacji użytkownikom proporcjonalnych do ich strat w wyniku podpisywania złośliwych transakcji. Te programy będą podlegały wymaganiom weryfikacyjnym. Na razie, jeśli zostałeś dotknięty, proszę otwórz zgłoszenie na Discordzie.

Aby zapoznać się z pełnym harmonogramem ataku, prosimy o zapoznanie się z pełnym raportem hostowanym na IPFS, który jest podlinkowany poniżej: