Les attaques DNS peuvent rediriger les enregistrements DNS vers des sites Web malveillants qui peuvent vider les portefeuilles des utilisateurs.
Au cours des deux premières semaines de juillet, certains acteurs malveillants ont tenté de compromettre MetaMask. Compound et Celer Networks, entre autres.
Les utilisateurs doivent utiliser des mots de passe forts pour leurs e-mails ainsi que l’authentification à deux facteurs pour leurs comptes numériques.
Les attaquants de la cryptographie multiplient leurs méthodes pour voler des actifs numériques à des investisseurs insouciants. Il est donc essentiel que les personnes effectuant des transactions cryptographiques soient attentives aux activités inhabituelles sur les réseaux de blockchain avec lesquels elles interagissent. Aujourd’hui, nous nous concentrons sur la manière dont les attaquants de la cryptographie utilisent le détournement DNS pour voler les gens. Nous explorerons également les moyens par lesquels les investisseurs peuvent protéger leurs actifs contre de telles attaques.
Une nouvelle méthode d’attaque cryptographique appelée détournement DNS menace la sécurité de divers réseaux blockchain. Cette méthode sophistiquée utilisée par les mauvais acteurs peut affecter de nombreux protocoles de finance décentralisée, avec la crainte que plus de 220 protocoles DeFi soient actuellement gravement menacés.
Grâce au détournement du DNS de Squarespace, des acteurs malveillants peuvent rediriger les enregistrements DNS vers des adresses IP malveillantes utilisées pour détourner des actifs numériques des portefeuilles d’utilisateurs sans méfiance. Déjà, en utilisant cette méthode, ces attaquants ont compromis plusieurs protocoles DeFi, notamment Compound, un Ethereum Le protocole DeFi basé sur et le réseau d’interopérabilité multi-chaîne Celer Network. Les portefeuilles numériques des utilisateurs qui interagissent avec les interfaces frontales des protocoles ciblés seront redirigés vers des pages web qui videront leurs portefeuilles. Il est essentiel de noter que dans la plupart des cas, les victimes sont trompées en signant des transactions malveillantes, ce qui donne aux attaquants un contrôle total sur leurs actifs. Les kits de vidange sont généralement déployés via des domaines compromis et des sites de phishing, de sorte que de nombreux investisseurs en crypto-monnaie sont confrontés à des risques de sécurité DeFi.
Certains observateurs ont fait remarquer que ces attaquants ont des liens avec le tristement célèbre Inferno Drainer qui utilise des kits avancés de vidange de portefeuille pour prendre le contrôle des actifs cryptographiques des victimes grâce à des transactions trompeuses. Selon une récente publication de Decrypt, Ido Ben-Natan, le cofondateur et PDG de Blockaid, est convaincu que Inferno Drainer est impliqué dans ces vols de crypto-monnaie. Dans un interview avec Decrypt, Ben-Natan a dit« L’association à Inferno Drainer est claire en raison de l’infrastructure partagée sur la chaîne et hors chaîne. Cela comprend les adresses de portefeuille et de contrats intelligents sur la chaîne ainsi que les adresses IP et les domaines hors chaîne liés à Inferno. »
Cependant, comme ces cybercriminels partagent une infrastructure on-chain et off-chain, il est possible de les suivre. Par exemple, les entreprises numériques telles que Blockaid qui travaillent avec les communautés et les parties concernées peuvent aider à identifier les vulnérabilités DNS et à atténuer les effets de telles attaques. Cependant, une communication et une coopération claires de la part des différentes parties concernées sont essentielles pour limiter l’étendue des dommages que l’attaque peut causer. Ben-natan a expliqué : « Blockaid est capable de suivre les adresses. Notre équipe a également travaillé en étroite collaboration avec la communauté pour s’assurer qu’il existe un canal ouvert pour signaler les sites compromis.
En novembre 2023, Inferno Drainer a annoncé son intention de dissoudre ses activités. Cependant, à première vue, le groupe pose encore beaucoup de problèmes de cybersécurité dans les menaces cryptographiques par le biais du détournement de DNS et d’autres méthodes connexes. Sur la base des récentes tendances en matière de sécurité des crypto-monnaies, Inferno Drainer a volé plus de 180 millions de dollars d’actifs numériques.
Une attaque DNS se produit lorsque les cybercriminels détournent les requêtes de recherche vers des serveurs de noms de domaine non autorisés. Fondamentalement, l’attaquant utilise des modifications non autorisées ou des logiciels malveillants pour altérer l’enregistrement DNS du site Web ciblé, redirigeant ainsi les utilisateurs vers une destination malveillante. Dans le cas de l’attaque de Squarespace, certains experts estiment que les attaquants auraient pu utiliser un empoisonnement du cache DNS, ce qui implique l’injection de fausses données dans les caches DNS. En conséquence, les requêtes DNS renverraient des réponses incorrectes avant de rediriger les utilisateurs vers des sites Web malveillants.
Le protocoles DeFi qui ont été attaqués ont utilisé diverses méthodes pour prévenir les vols à grande échelle des actifs numériques des utilisateurs. L’une des réponses de sécurité largement utilisées par SquareSpace était d’alerter les utilisateurs du danger existant. Par exemple, MetaMask a averti ses utilisateurs du danger via des plateformes de médias sociaux telles que X.com.
Source: X.com
Une fois que les protocoles DeFi ciblés ont partagé les avertissements sur différentes plateformes de médias sociaux, de nombreux membres de différentes communautés cryptographiques ont aidé en diffusant le message, alertant de nombreux utilisateurs d’actifs numériques sur les menaces existantes.
Lire aussi : Six Indicateurs Majeurs Que Tout Débutant Doit Connaître À Propos De DeFi
Actuellement, il n’y a pas d’informations tangibles sur l’étendue complète du piratage récent du DNS de Squarespace. Les premières attaques DNS ont été détectées les 6 et 11 juillet de cette année lorsque des acteurs malveillants ont tenté de prendre le contrôle de Compound et du réseau Celer. Cependant, dans le cas du réseau Celer, son système de surveillance a contrecarré l’attaque. L’évaluation initiale de Blockaid des attaques indique que les attaquants ciblent les noms de domaine fournis par Squarespace. Cela met plus de 220 protocoles DeFi à des risques de sécurité DeFi. C’est parce que tous applications DeFi Les sites web qui utilisent des domaines Squarespace sont exposés aux risques d’attaques DNS.
À ce sujet, à travers un X post, Blockaid said,” D’après une évaluation initiale, il semble que les attaquants opèrent en détournant les enregistrements DNS de projets hébergés sur SquareSpace.” Les attaques contre divers protocoles DeFi, portefeuilles numériques et échanges de crypto-monnaies ont été contrecarrées par leurs systèmes de sécurité robustes. Dans la plupart de ces cas, les interfaces ont averti les utilisateurs du danger imminent, comme le montre la capture d’écran suivante.
Source: x.com
Comme observé, les portefeuilles numériques comme Coinbase Wallet et MetaMask ont signalé les sites associés comme malveillants et dangereux. Des exemples de certains protocoles DeFi à risque sont Thorchain, Flare, Pendle Finance, Aptos Labs, Polymarket, Satoshi Protocol, Near, dYdX, Nirvana, MantaDAO et Ferrum.
En termes simples, un système de nom de domaine (DNS) convertit les noms de site Web en adresses conviviales pour les ordinateurs. Par exemple, il traduit des noms de domaine tels que www.tcore.com en adresses IP numériques telles que 82.223.84.85 permettant aux appareils de se connecter à différentes destinations en ligne. Cependant, un DNS joue un rôle important dans la sécurisation des plates-formes de crypto en ligne. Étant donné qu’il s’agit d’un système décentralisé, il n’a pas de point central de défaillance, ce qui empêche de nombreuses cyberattaques. De plus, le DNS blockchain rend impossible pour les acteurs malveillants de manipuler les transactions, assurant ainsi la sécurité des actifs numériques qui existent sur divers réseaux décentralisés.
Après les attaques DNS, les experts en cybersécurité ont suggéré plusieurs méthodes de traitement des vulnérabilités DNS similaires. Les entreprises DeFi peuvent ajouter plus de couches de sécurité à leurs protocoles. Par exemple, elles peuvent reconfigurer leurs contrats intelligents pour empêcher les mises à jour à moins qu’elles ne soient vérifiées par des signatures onchain. Dans ce cas, avant une mise à jour, un DNS devrait demander une signature du portefeuille de l’utilisateur. Cela rendra plus difficile pour les pirates de réussir dans leurs missions car ils devraient pirater à la fois le portefeuille et le registraire.
De plus, les protocoles DeFi peuvent avoir besoin de mettre en signet des URL de confiance et de vérifier toutes les adresses de site Web associées. Ils peuvent également ajouter des extensions de navigateur pertinentes telles que HTTPS ainsi que des authentifications à deux facteurs (2FA) pour les comptes et portefeuilles numériques. De plus, le protocole DeFi devrait disposer de canaux de communication pour signaler des activités cryptographiques suspectes. Ainsi, toute plateforme affectée peut obtenir le soutien d’autres partenaires en matière de sécurité.
Une autre façon de protéger les plateformes DeFi utilise le filtrage du contenu pour bloquer les sites Web malveillants de interagir avec leurs contrats intelligents. Par exemple, ils peuvent utiliser des logiciels malveillants robustes bloquer les sites de phishing.
En plus des mesures de sécurité du protocole DeFi mises en place, les utilisateurs doivent adopter leurs propres stratégies de protection des actifs de cryptographie. Par exemple, ils doivent installer un logiciel antimalware sur leurs appareils électroniques. Ils doivent également utiliser l’authentification à deux facteurs, les VPN et les pare-feu robustes. De plus, les particuliers doivent utiliser des mots de passe forts pour leurs e-mails et leurs enregistrements de domaine.
Plus de 220 protocoles DeFi sont menacés par des attaques DNS. Au cours des deux premières semaines de juillet, certains attaquants malveillants ont essayé de compromettre plusieurs protocoles DeFi et portefeuilles numériques, notamment Compound, Celer Network, Coinbase wallet et MetaMask. Cependant, la plupart de ces plates-formes ont repoussé les attaques. Pour éviter les attaques futures, les sociétés de cryptographie peuvent… introduire des mesures de sécurité supplémentaires comme les authentifications à deux facteurs et les extensions de navigateur pertinentes telles que HTTPS.
Si le DNS est détourné, il redirigera les enregistrements DNS vers des sites Web malveillants, ce qui peut entraîner la vidange du portefeuille des utilisateurs. Pour prévenir les attaques DNS, les entreprises DeFi peuvent avoir besoin de reconfigurer leurs contrats intelligents pour arrêter les mises à jour qui se produisent normalement sans vérification des signatures onchain.
Les utilisateurs peuvent utiliser différentes stratégies telles que des mots de passe d’e-mail forts et des authentifications à deux facteurs pour atténuer le détournement de DNS. En revanche, les protocoles DeFi peuvent avoir besoin de mettre en signet des URL fiables et de vérifier toutes les adresses de site web associées.
Un VPN peut empêcher le détournement DNS. Cela est dû au fait que le VPN est en mesure de prévenir l’interception des requêtes DNS. Cependant, les utilisateurs doivent utiliser des VPN fiables.
Le détournement de DNS consiste à modifier les paramètres DNS tandis que la preuve de DNS modifie les enregistrements DNS. Habituellement, les attaquants utilisent des logiciels malveillants pour faciliter le détournement de DNS.