Ett antal defi-dapps, mest framträdande Convex Finance, fick sitt domännamn kapat.
ConvexFinance, Ribbon Finance, DeFiSaver och Allbridge påverkades alla av användare som godkände skadliga kontrakt samtidigt som de befann sig på den faktiska domänen av projektet.
Registrator för alla dessa domäner var NameCheap, med dess VD, Richard Kirkendall, som säger:
"Vi har spårat detta till en specifik kundtjänstagent som antingen hackades eller komprometterades på något sätt och har tagit bort all åtkomst från denna agent. Detta påverkade några riktade domäner men vi kommer att fortsätta undersöka.”
Förhoppningsvis blev han eller hon också polisanmäld och får fängelse eftersom det här är ett tydligt och okomplicerat fall av stöld med all bevisning som förmodligen finns tillgänglig, så det borde bli en kort rättegång.
Men hacket eller kapningen var helt klart inte sofistikerad alls. Någon anställd på NameCheap ändrade precis IP-adressen som domänen pekade på, och alla såg identiska ut på den nya skadliga servern, inklusive de första och sista fyra siffrorna i ethereum-adressen.
Jag vet inte vad som händer men var 100% säker på att du godkänner exakt 0xF403C135812408BFbE8713b5A23a04b3D48AAE31
om du använde @ConvexFinance make sure you did not approve: 0xF403a2c10B0B9feF8f0d4F931df5d86aD187AE31 https://t.co/QTsi6BV1Zj
— alexintosh.eth | Jag anställer (@Alexintosh) Juni 23, 2022
Så de har använt en fåfängaadress, och det är inte heller sofistikerat eftersom du bara fortsätter att klicka på skapa ny adress tills du hittar en som liknar den.
Denna process blir svårare ju fler siffror du vill "anpassa" genom att botprogramvaran klickar på skapa ny adress.
Människor kan komma ihåg i korttidsminnet ungefär sex siffror med lätthet för nästan alla, och för majoriteten kan de komma ihåg sju siffror, men inte med full lätthet.
Få fåfänglighetsadresser kan vara sjusiffriga, men mycket skulle inte vara så noggrant att kontrollera heller, med revoke.cash som låter dig återkalla tillstånd till vilket smart kontrakt som helst, även om alla pengar i det här fallet redan kan ha tömts.
Men det finns en anställd här och du förväntar dig att NameCheap skulle samarbeta fullt ut eller att själva vara i rättegång – brottmål – så att få tillbaka en del av medlen borde vara möjligt.
Eftersom den här anställde förmodligen vet vem de ändrade IP-adressen för, eller så får de dubbelt/tre gånger fängelse. Så i slutändan kan vi ha ett fall av dumma brottslingar.
Och enligt Kirkendall verkar det straffrättsliga systemet vara den enda lösningen här eftersom åtminstone vissa anställda uppenbarligen behöver möjligheten att ändra IP i fall där det finns ett hack eller missbruk.
För den senare kan en bättre lösning vara att avbryta domänen eller stänga av den istället för att omdirigera. För ett hack kanske det inte finns så mycket att välja på, men det här är ett dumt brott och därför förväntar vi oss full åtal och det borde vara tillräckligt avskräckande.
Eftersom det inte finns något sätt att den här aktiviteten kan utföras utan att det är känt vem som exakt utförde åtgärden, och Kirkendall bekräftar att de för loggar över varje förändring och aktivitet.
Det här liknar det korta SIM-hackningsavsnittet där tjuvar fick någons nummer för att använda det för tvåfaktorsautentisering.
Det är dock lätt att hitta vem som frågade efter det numret, och här är den anställde känd för NameCheap, så du låser in några och det borde vara slutet på det eftersom det är garanterat fängelse om du använder den här metoden och pengarna kommer att konfiskeras om inte du vill att fängelsetiden ska gå upp till livstid.
Det finns också andra potentiella lösningar som Ethereum Name Service (ENS), även om vi inte ser att det används mycket för levande domännamn i produktionen, och det finns också BGP kapar där ISP:n omdirigerar till skadlig, men även här kan polisen hitta den anställde och vem som gjort det.
Så lösningen är att de här tjuvarna inser att de är dumma av våra skattepengar, vilket gör det väldigt tydligt genom att polisen gör det jobb de får betalt för, vilket med största sannolikhet kommer att göra.
Medan den tillfälliga lösningen är att vara lite mer alert för närvarande, kontrollera upp till sju siffror åtminstone, och om du tidigare har godkänt, kontrollera ännu mer noggrant.
För de kan fejka en massa saker, men de kan inte fejka den faktiska adressen, med det oklart om det på längre sikt även finns potentiellt AI-lösningar där MetaMask eller Etherscan varnar dig.
Det kan tyckas ironiskt att du nu har en centraliserad gatekeeper som talar om för dig vad du ska lita på, men du kan ignorera dem om du vill och de kan inte tvinga dig att göra något, som att bara ändra din domän-IP som i centraliserade databaser.
Källa: https://www.trustnodes.com/2022/06/25/defi-dapps-dns-attacked