Definiowanie Dapps zaatakowano DNS – Trustnodes

Wiele defi dappów, przede wszystkim Convex Finance, miało przechwyconą nazwę domeny.

ConvexFinance, Ribbon Finance, DeFiSaver i Allbridge zostały dotknięte tym, że użytkownicy zatwierdzali złośliwe umowy, będąc w rzeczywistej domenie projektu.

Rejestratorem wszystkich tych domen była firma NameCheap, a jej dyrektor generalny Richard Kirkendall stwierdził:

„Wyśledziliśmy tę sprawę do konkretnego agenta obsługi klienta, który został zhakowany lub w jakiś sposób naruszony, dlatego usunęliśmy cały dostęp temu agentowi. Dotyczyło to kilku docelowych domen, ale będziemy kontynuować dochodzenie.”

Miejmy nadzieję, że on lub ona również została zgłoszona na policję i zostanie skazana na karę więzienia, ponieważ jest to jasny i prosty przypadek kradzieży, na podstawie wszystkich prawdopodobnie dostępnych dowodów, zatem powinien to być krótki proces.

Jednak włamanie lub porwanie najwyraźniej nie było wcale wyrafinowane. Pewien pracownik NameCheap właśnie zmienił adres IP, na który wskazywała domena, a na nowym złośliwym serwerze wszystko wyglądało identycznie, łącznie z pierwszą i ostatnią cyfrą adresu Ethereum.

Nie wiem, co się dzieje, ale bądź w 100% pewien, że dokładnie zatwierdzasz 0xF403C135812408BFbE8713b5A23a04b3D48AAE31

jeśli użyłeś @ Convexfinance. make sure you did not approve: 0xF403a2c10B0B9feF8f0d4F931df5d86aD187AE31 https://t.co/QTsi6BV1Zj

— alexintosh.eth | Zatrudnię (@Alexintosh) 23 czerwca 2022 r.

Użyli więc adresu próżnego, który również nie jest wyszukany, ponieważ po prostu klikasz przycisk Utwórz nowy adres, aż znajdziesz taki, który wygląda podobnie.

Proces ten staje się tym trudniejszy, im więcej cyfr chcesz „dostosować” za pomocą oprogramowania bota, klikając przycisk Utwórz nowy adres.

Prawie wszyscy ludzie mogą z łatwością zapamiętać w pamięci krótkotrwałej około sześciu cyfr, a dla większości potrafią zapamiętać siedem cyfr, choć nie z pełną łatwością.

Niewiele adresów próżnych może składać się z siedmiu cyfr, ale wiele z nich nie byłoby tak dokładnych przy sprawdzaniu, ponieważ revoke.cash pozwala na cofnięcie uprawnień do dowolnego inteligentnego kontraktu, chociaż w tym przypadku wszystkie fundusze mogły już zostać wyczerpane.

Ale jest tu pracownik i można się spodziewać, że NameCheap będzie w pełni współpracować lub sami staną przed sądem – procesem karnym – więc odzyskanie części środków powinno być możliwe.

Ponieważ ten pracownik prawdopodobnie wie, dla kogo zmienił adres IP, w przeciwnym razie grozi mu podwójna/potrójna kara więzienia. W rezultacie możemy mieć sprawę głupich przestępców.

Według Kirkendalla jedynym rozwiązaniem wydaje się tutaj system prawa karnego, ponieważ przynajmniej niektórzy pracownicy najwyraźniej potrzebują możliwości zmiany adresu IP w przypadku włamania lub nadużycia.

W tym drugim przypadku lepszym rozwiązaniem może być unieważnienie domeny lub jej zawieszenie niż przekierowanie. W przypadku włamania może nie ma wielkiego wyboru, ale jest to głupie przestępstwo, dlatego spodziewamy się pełnego oskarżenia, co powinno być wystarczającym środkiem odstraszającym.

Ponieważ nie ma możliwości podjęcia tej czynności bez wiedzy, kto dokładnie ją wykonał, a Kirkendall potwierdza, że ​​prowadzi rejestry każdej zmiany i każdej aktywności.

Uczyń to podobnym do krótkiego odcinka hackowania karty SIM, w którym złodzieje zdobywają czyjś numer, aby użyć go do uwierzytelnienia dwuskładnikowego.

Łatwo jednak ustalić, kto prosił o ten numer, a tutaj pracownik jest znany NameCheap, więc zamykasz część i to powinno być koniec, ponieważ jeśli użyjesz tej metody, gwarantowane jest więzienie, a środki zostaną skonfiskowane, chyba że chcesz, aby kara więzienia przedłużyła się do dożywotniego więzienia.

Istnieją również inne potencjalne rozwiązania, takie jak usługa nazw Ethereum (ENS), chociaż nie widzimy, aby była ona zbyt często wykorzystywana w przypadku aktywnych nazw domen w fazie produkcyjnej, jest też Przejęcia BGP gdzie dostawca usług internetowych przekierowuje do złośliwych, ale tutaj również organy ścigania mogą znaleźć pracownika i tego, kto to zrobił.

Rozwiązaniem jest więc uświadomienie tym złodziejom, że ogłupiają pieniądze z naszych podatków, co jasno daje do zrozumienia, że ​​organy ścigania wykonują pracę, za którą im płacą, co najprawdopodobniej zrobią.

Chociaż tymczasowe rozwiązanie ma być obecnie nieco bardziej czujne, sprawdź co najmniej do siedmiu cyfr, a jeśli wcześniej wyraziłeś zgodę, sprawdź jeszcze dokładniej.

Ponieważ mogą sfałszować wiele rzeczy, ale nie mogą sfałszować rzeczywistego adresu, przy czym nie jest jasne, czy w dłuższej perspektywie istnieją również potencjalnie rozwiązania AI, w których ostrzegają MetaMask lub Etherscan.

Może to wydawać się ironiczne, że masz teraz scentralizowanego strażnika, który mówi Ci, czemu możesz zaufać, ale możesz go zignorować, jeśli chcesz, i nie może Cię zmusić do zrobienia czegoś, na przykład zmiany adresu IP domeny, tak jak w scentralizowanych bazach danych.