Los ataques DNS pueden redirigir los registros DNS a sitios web maliciosos que pueden vaciar las billeteras de los usuarios.
Durante las primeras dos semanas de julio, algunos actores malintencionados intentaron comprometer MetaMask, Compound y Celer Networks, entre otros.
Los usuarios deben utilizar contraseñas fuertes para los correos electrónicos, así como autenticación de dos factores para sus cuentas digitales.
Los atacantes de cripto están aumentando sus métodos de robo de activos digitales de inversores desprevenidos. Por lo tanto, es esencial que las personas que realizan transacciones cripto estén atentas a actividades inusuales en las redes blockchain con las que interactúan. Hoy nos enfocamos en cómo los atacantes de cripto están utilizando el secuestro de DNS para robar a las personas. También exploraremos formas en las que los inversores pueden proteger sus activos de tales ataques.
Un nuevo método de ataque cripto llamado secuestro de DNS está amenazando la seguridad de varias redes blockchain. Este método sofisticado que los actores maliciosos están utilizando puede afectar a muchos protocolos de finanzas descentralizadas, con el temor de que más de 220 protocolos DeFi actualmente estén bajo una gran amenaza.
A través del secuestro de DNS de Squarespace, los actores maliciosos pueden redirigir los registros DNS a direcciones IP maliciosas utilizadas para drenar activos digitales de las billeteras de usuarios desprevenidos. Ya utilizando este método, estos atacantes han comprometido varios protocolos DeFi, incluido Compound, un Ethereum El protocolo DeFi basado en , y Celer Network, un protocolo de interoperabilidad multi-cadena. Las billeteras digitales de los usuarios que interactúan con los front ends de los protocolos objetivo serán redirigidas a páginas web que drenarán sus billeteras. Es importante tener en cuenta que en la mayoría de los casos las víctimas son engañadas para firmar transacciones maliciosas que dan a los atacantes el control total de sus activos. Los kits de drenaje generalmente se implementan a través de dominios comprometidos y sitios web de phishing, por lo que muchos inversores de criptomonedas enfrentan riesgos de seguridad DeFi.
Algunos observadores han señalado que estos atacantes tienen vínculos con el notorio Inferno Drainer, quien utiliza kits avanzados de drenaje de billeteras para tomar el control de los activos criptográficos de las víctimas a través de transacciones engañosas. Según una publicación reciente de Decrypt, Ido Ben-Natan, cofundador y CEO de Blockaid, está convencido de que Inferno Drainer está involucrado en estos robos de criptomonedas. En un… en una entrevista con Decrypt, Ben-Natan dijo, “La asociación con Inferno Drainer es clara debido a la infraestructura compartida tanto en cadena como fuera de ella. Esto incluye direcciones de billetera en cadena, contratos inteligentes, así como direcciones IP y dominios fuera de la cadena vinculados a Inferno.”
Sin embargo, dado que estos ciberdelincuentes comparten infraestructura en cadena y fuera de cadena, es posible rastrearlos. Por ejemplo, empresas digitales como Blockaid que trabajan con comunidades y partes afectadas pueden ayudar a identificar vulnerabilidades de DNS y mitigar los efectos de dichos ataques. Sin embargo, la comunicación clara y la cooperación de las diversas partes involucradas son esenciales para limitar el alcance del daño que el ataque puede causar. Ben-natan explicó: ‘Blockaid puede rastrear las direcciones. Nuestro equipo también ha estado trabajando en estrecha colaboración con la comunidad para garantizar que haya un canal abierto para informar sobre los sitios comprometidos’.
Ya en noviembre de 2023, Inferno Drainer anunció su intención de disolver su operación. Sin embargo, según parece, el grupo aún representa una gran amenaza de ciberseguridad en las criptomonedas a través de secuestro de DNS y otros métodos relacionados. Según las tendencias recientes en seguridad de criptomonedas, Inferno Drainer ha robado más de $180 millones en activos digitales.
Los ataques DNS ocurren cuando los actores malintencionados desvían las consultas de búsqueda a servidores de nombres de dominio no autorizados. Básicamente, el atacante utiliza modificaciones no autorizadas o malware para alterar el registro DNS del sitio web objetivo, redirigiendo así a los usuarios a un destino malicioso. En el caso del ataque a Squarespace, algunos expertos creen que los atacantes podrían haber utilizado envenenamiento de caché DNS, que implica inyectar datos falsos en las cachés de DNS. Como resultado, las consultas DNS devolverían respuestas incorrectas antes de redirigir a los usuarios a sitios web maliciosos.
La protocolos DeFi que fueron atacados utilizaron varios métodos para evitar robos a gran escala de los activos digitales de los usuarios. Una de las respuestas de seguridad de SquareSpace más utilizadas fue alertar a los usuarios del peligro existente. Por ejemplo, MetaMask advirtió a sus usuarios del peligro a través de plataformas de redes sociales como X.com.
Source: X.com
Una vez que los protocolos DeFi objetivo compartieron las advertencias en diversas plataformas de redes sociales, muchos miembros de diferentes comunidades criptográficas ayudaron a difundir el mensaje, alertando a muchos usuarios de activos digitales sobre las amenazas existentes.
Leer también: Seis indicadores principales que todo principiante debe conocer sobre DeFi
Actualmente, no hay información tangible sobre la magnitud completa del reciente secuestro de DNS de Squarespace. Los primeros ataques de DNS fueron detectados el 6 y 11 de julio de este año, cuando los actores maliciosos intentaron tomar el control de Compound y Celer Network. Sin embargo, en el caso de Celer Network, su sistema de monitoreo frustró el ataque. La evaluación inicial de Blockaid de los ataques indica que los atacantes están apuntando a nombres de dominio que Squarespace proporciona. Esto pone a más de 220 protocolos DeFi en riesgos de seguridad DeFi. Esto se debe a que todos aplicaciones DeFi los sitios web que usan dominios de Squarespace enfrentan riesgos de ataques DNS.
En cuanto a esto, a través de un X post, Blockaid said“A partir de la evaluación inicial, parece que los atacantes están operando secuestrando los registros DNS de los proyectos alojados en SquareSpace.” Los ataques a varios protocolos DeFi, billeteras digitales e intercambios de criptomonedas fueron frustrados por sus sólidos sistemas de seguridad. En la mayoría de estos casos, las interfaces de usuario notificaron a los usuarios del peligro inminente, como muestra la siguiente captura de pantalla.
Fuente: x.com
Como se observa, las billeteras digitales que incluyen Coinbase Wallet y MetaMask marcaron los sitios web asociados como maliciosos e inseguros. Ejemplos de algunos protocolos DeFi en riesgo son Thorchain, Flare, Pendle Finance. Aptos Labs, Polymarket, Satoshi Protocol, Near, dYdX, Nirvana, MantaDAO y Ferrum.
En términos simples, un Sistema de Nombres de Dominio (DNS) convierte los nombres de los sitios web en direcciones amigables para las computadoras. Por ejemplo, traducen nombres de dominio como www.tcore.com) en direcciones IP numéricas como 82.223.84.85, lo que permite a los dispositivos conectarse con diferentes destinos en línea. Sin embargo, un DNS juega un papel importante en la seguridad de las plataformas de criptomonedas en línea. Dado que es un sistema descentralizado, no tiene un punto central de falla que previene muchos ciberataques. Además, el DNS basado en blockchain hace imposible que los actores maliciosos manipulen transacciones, asegurando así los activos digitales que existen en varias redes descentralizadas.
Después de los ataques DNS, los expertos en ciberseguridad han sugerido varios métodos para manejar vulnerabilidades DNS similares. Las empresas DeFi pueden agregar más capas de seguridad a sus protocolos. Por ejemplo, pueden reconfigurar sus contratos inteligentes para evitar actualizaciones a menos que estén verificadas por firmas onchain. En este caso, antes de una actualización, un DNS debería solicitar una firma del monedero del usuario. Esto hará que sea más difícil para los hackers tener éxito en sus misiones, ya que necesitarían piratear tanto el monedero como el registrador.
Además, los protocolos DeFi pueden necesitar marcar como favoritas las URL de confianza y verificar todas las direcciones de sitios web asociadas. También pueden agregar extensiones de navegador relevantes como HTTPS, así como autenticaciones de dos factores (2FA) para cuentas y billeteras digitales. Además, el protocolo DeFi debe tener canales de comunicación para informar actividades sospechosas con criptomonedas. De esta manera, cualquier plataforma afectada puede recibir apoyo de otros socios de seguridad.
Otra forma de protegiendo las plataformas DeFi es utilizar filtros de contenido para bloquear sitios web maliciosos de interactuar con sus contratos inteligentes. Por ejemplo, pueden utilizar software malicioso robusto bloquear los sitios web de phishing.
Además de las medidas de seguridad implementadas en el protocolo DeFi, los usuarios deben adoptar sus propias estrategias de protección de activos criptográficos. Por ejemplo, deben instalar software antivirus en sus dispositivos electrónicos. También deben utilizar autenticación de dos factores, VPN y firewalls sólidos. Además, las personas deben usar contraseñas seguras para sus correos electrónicos y registros de dominio.
Más de 220 protocolos DeFi están bajo amenaza de ataques DNS. Durante las primeras dos semanas de julio, algunos atacantes maliciosos intentaron comprometer varios protocolos DeFi y billeteras digitales que incluyen Compound, Celer Network, Coinbase wallet y MetaMask. Sin embargo, la mayoría de estas plataformas lograron repeler los ataques. Para prevenir futuros ataques, las empresas de criptomonedas pueden introducir medidas adicionales de seguridad como autenticaciones de dos factores y extensiones de navegador relevantes como HTTPS.
Si el DNS es secuestrado, redirigirá los registros DNS a sitios web maliciosos que pueden provocar el vaciado de las carteras de los usuarios. Para prevenir los ataques al DNS, las empresas DeFi pueden necesitar reconfigurar sus contratos inteligentes para detener las actualizaciones que normalmente ocurren sin verificación de firmas en cadena.
Los usuarios pueden utilizar diversas estrategias como contraseñas de correo electrónico seguras y autenticaciones de dos factores para mitigar el secuestro de DNS. Por otro lado, los protocolos de DeFi pueden necesitar marcar como favoritos las URL confiables y verificar todas las direcciones de sitios web asociadas.
Una VPN puede prevenir el secuestro DNS. Esto se debe a que la VPN es capaz de prevenir la interceptación de consultas DNS. Sin embargo, los usuarios deben utilizar VPN confiables.
El secuestro de DNS implica cambiar la configuración de DNS, mientras que la prueba de DNS modifica los registros de DNS. Por lo general, los atacantes utilizan malware para facilitar el secuestro de DNS.