Vào ngày 21 tháng 11, các miền tập trung của cả Velodrome và Aerodrome đã bị chiếm đoạt và hướng đến nội dung độc hại. Cuộc tấn công này đã được phát hiện và giảm thiểu nhanh chóng với sự hỗ trợ của các đối tác an ninh của chúng tôi — và một kế hoạch cho cách tiến lên đã sẵn sàng. 👇

Tóm tắt • Nguyên nhân là một lỗ hổng bảo mật nội bộ tại NameSilo • Các miền phi tập trung vẫn an toàn và hoạt động bình thường • Các miền tập trung với cơ sở hạ tầng mới sẽ hoạt động vào tuần tới • Năm công ty bảo mật hàng đầu đã được tư vấn • Người dùng bị ảnh hưởng bởi các miền độc hại đủ điều kiện nhận trợ cấp

Khi ngành công nghiệp phát triển, các cuộc tấn công vào hạ tầng miền tập trung của các giao thức DeFi đã trở nên phổ biến một cách bi thảm. Chỉ trong vài năm qua, hàng chục dự án hàng đầu đã phải chịu đựng các cuộc tấn công miền tập trung từ các tác nhân đe dọa.

Vector phổ biến nhất cho các cuộc tấn công DNS là kỹ thuật kỹ thuật xã hội, hoặc xâm phạm, các dịch vụ quản lý miền tập trung. Đó là lý do tại sao sau khi tham khảo ý kiến với các nhà lãnh đạo trong ngành, chúng tôi đã chọn sử dụng 3DNS, được thiết kế để hạn chế các vector như vậy thông qua kiểm soát multisig.

Mặc dù điều này lẽ ra phải là một bản nâng cấp bảo mật so với ngay cả những dịch vụ tập trung mạnh mẽ nhất, mà chỉ mạnh như liên kết con người yếu nhất của họ, nhưng giờ đây rõ ràng rằng các vector tấn công trong mô hình này vẫn tồn tại.

Theo các đối tác của chúng tôi tại 3DNS và NameSilo, những người vẫn đang tích cực điều tra, quyền kiểm soát multisig đã bị vượt qua. DNSSEC đã bị gỡ bỏ khỏi cả hai miền và một nhân viên bị xâm phạm tại NameSilo đã có thể chuyển hướng các miền đến các trang độc hại.

Nhờ vào những hành động nhanh chóng của @Blockaid_, @0xGroomLake, @_SEAL_Org, và @FTIConsulting, các cuộc tấn công đã được giảm thiểu nhanh chóng. Trong vòng 2 phút sau giao dịch độc hại đầu tiên được biết đến, các ví lớn như Metamask và Coinbase Wallet đã hiển thị cảnh báo.

Xem xét thời gian lan truyền khác nhau của các bản sửa lỗi, cuộc tấn công đã được giảm thiểu hoàn toàn trong chưa đầy 4 giờ - và tác động của nó chỉ giới hạn ở khoảng 700.000 đô la bị mất bởi những người dùng đã kết nối và ký giao dịch trên trang web độc hại trong khi nó vẫn còn hoạt động.

Kể từ sau cuộc tấn công, 3DNS và NameSilo đã hợp tác và minh bạch -- và đang tiếp tục điều tra nguyên nhân gốc rễ cũng như cải cách các thực tiễn của chính họ để ngăn chặn các vấn đề trong tương lai. Chúng tôi vẫn tin vào tương lai của một hệ thống tên miền phi tập trung mạnh mẽ và an toàn.

Tuy nhiên, theo lời khuyên của các đối tác bảo mật của chúng tôi, chúng tôi đã quyết định không khôi phục các miền tập trung trên cùng một hạ tầng. Chúng tôi cảm ơn sự kiên nhẫn của người dùng Velodrome và Aerodrome ở đây.

Hiện tại, chúng tôi đang làm việc với các cố vấn an ninh và các giám đốc điều hành của một số nhà đăng ký doanh nghiệp hàng đầu để cung cấp một giải pháp đáp ứng các yêu cầu độc đáo của một trong những ứng dụng DeFi nổi bật nhất. Chúng tôi dự kiến các tên miền sẽ được di chuyển và mở lại vào tuần tới.

Chúng tôi cũng dự định cung cấp cho các nhóm tập trung vào bảo mật tùy chọn tải xuống và chạy các dApp theo cách hoàn toàn tự lưu trữ. Điều này có nghĩa là người dùng sẽ có thể sử dụng Velodrome và Aerodrome trong các mạng riêng tư và có tường lửa với các điểm cuối RPC của riêng họ.

Ngoài ra, các Quỹ Aero + Velo đang làm việc trên một kế hoạch để cung cấp các khoản trợ cấp cho người dùng tương ứng với tổn thất của họ trong việc ký các giao dịch độc hại. Các chương trình này sẽ phải tuân theo các yêu cầu xác minh. Hiện tại, nếu bạn bị ảnh hưởng, vui lòng mở một vé trong Discord.

Để xem toàn bộ thời gian của cuộc tấn công, vui lòng xem báo cáo đầy đủ được lưu trữ trên IPFS mà được liên kết bên dưới: