Den 21 november kapades de centraliserade domänerna för både Velodrome och Aerodrome och riktades mot skadligt innehåll. Denna attack upptäcktes och åtgärdades snabbt med stöd från våra säkerhetspartners – och en plan för hur vi ska gå vidare är nu klar. 👇

TL; DR • Roten var ett internt säkerhetsintrång hos NameSilo • Decentraliserade domäner förblir säkra och operativa • Centraliserade domäner med ny infrastruktur går live nästa vecka • Fem ledande säkerhetsföretag konsulterades • Användare som påverkas av skadliga domäner kvalificerar sig för bidrag

I takt med att branschen har vuxit har attacker på den centraliserade domäninfrastrukturen i DeFi-protokoll blivit tragiskt vanliga. Under bara de senaste åren har dussintals toppprojekt drabbats av attacker mot centraliserade domäner från hotaktörer.

Den vanligaste vektorn för DNS-attacker är social ingenjörskonst, eller kompromissning, av centraliserade domänhanteringstjänster. Därför valde vi, efter samråd med branschledare, att använda 3DNS, som var utformat för att begränsa sådana vektorer via multisig-kontroll.

Även om detta borde ha varit en säkerhetsuppgradering jämfört med även de mest robusta centraliserade tjänsterna, som bara är så starka som sin svagaste mänskliga länk, är det nu tydligt att attackvektorerna i denna modell fortfarande fanns där.

Enligt våra partners på 3DNS och NameSilo, som fortfarande aktivt utreder saker, kringgicks multisig-kontrollen. DNSSEC togs bort från båda domänerna och en komprometterad insider på NameSilo kunde omdirigera domänerna till skadliga sidor.

Tack vare snabba åtgärder från @Blockaid_, @0xGroomLake, @_SEAL_Org och @FTIConsulting mildrades attackerna snabbt. Inom två minuter efter den första kända skadliga transaktionen visade stora plånböcker som Metamask och Coinbase Wallet varningar.

Med hänsyn till de varierande spridningstiderna för fixar var attacken helt avvärjd på under 4 timmar – och dess påverkan begränsades till cirka 700 000 dollar som förlorades för användare som anslutit sig och signerade transaktioner på den skadliga sidan medan den fortfarande var aktiv.

Sedan attacken har 3DNS och NameSilo varit både samarbetsvilliga och transparenta – och fortsätter att undersöka grundorsaker och omarbetningar av sina egna metoder för att förhindra framtida problem. Vi fortsätter att tro på framtiden för en robust och säker decentraliserad domänstack.

Men på råd från våra säkerhetspartners har vi valt att inte ta upp de centraliserade domänerna på samma infrastruktur. Vi uppskattar tålamodet hos användare av Velodrome och Aerodrome här.

För närvarande samarbetar vi med våra säkerhetsrådgivare och chefer från några av de främsta företagsregistrarerna för att leverera en lösning som uppfyller de unika kraven hos en av DeFis mest framträdande applikationer. Vi förväntar oss att domäner migrerar och öppnar igen nästa vecka.

Vi planerar också att ge säkerhetsfokuserade team möjlighet att ladda ner och köra dApps på ett helt självhostat sätt. Detta innebär att användare kommer att kunna använda Velodrome och Aerodrome bakom brandväggs- och privata nätverk med egna RPC-endpoints.

Dessutom arbetar Aero + Velo Foundations på en plan att erbjuda bidrag till användare proportionella mot deras förluster vid att signera skadliga transaktioner. Dessa program kommer att vara föremål för verifieringskrav. För tillfället, om du blev påverkad, vänligen öppna ett ärende på Discord.

För en fullständig tidslinje för attacken, vänligen granska hela rapporten som finns på IPFS och som är länkad nedan: