DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享。DNS可以让我们访问目标域名时找到对应的IP:Domain->IP_REAL如果这种指向关系被攻击者替换了:Domain->IP_BAD(攻击者控制)那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性,比如常见的有两大类:域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。对于项目方来说,除了对自己的域名HTTPS+HSTS配置完备之外,可以常规做如下安全检查:检查域名相关DNS记录(A及NS)是否正常;检查域名在浏览器里的证书显示是否是自己配置的;检查域名管理的相关平台是否开启了双因素认证;检查Web服务请求日志及相关日志是否正常。对于用户来说,防御要点好几条,我一一讲解下。对于关键域名,坚决不以HTTP形式访问,比如:http://examplecom而应该始终HTTPS形式:https://examplecom如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。那么这种情况下用户如何防御呢?用户除了保持每一步操作的警惕外。我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。NoScript默认拦截植入的JavaScript文件。
慢雾区“被黑档案库”新增Base分类:金色财经报道,Base链上项目发生多起被黑客攻击事件(包括 Rug pull),慢雾区“被黑档案库(SlowMist Hacked)”新增Base分类。[2023/9/7 13:24:38]
但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的:https://curvefi/js/app.ca2e5d81.js植入了盗币有关的恶意代码。如果我们之前NoScript信任了Curve,那么这次也可能中招。可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过:
慢雾:利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道,SlowMist发布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻击,利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日,利用者发起了20提案,并在提案中说明20提案是对16提案的补充,具有相同的执行逻辑。但实际上,提案合约多了一个自毁逻辑,其创建者是通过create2创建的,具有自毁功能,所以在与提案合约自毁后,利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是,社区没有看到拟议合约中的犯规行为,许多用户投票支持该提案。
在5月18日,利用者通过创建具有多个交易的新地址,反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性,利用者在5月20日7:18(UTC)销毁了提案执行合约,并在同一地址部署了一个恶意合约,其逻辑是修改用户在治理中锁定的代币数量。
攻击者修改完提案合约后,于5月20日7:25(UTC)执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的,因此,该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后,攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽,同时利用者控制了治理。[2023/5/21 15:17:00]
慢雾:BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息,10月30日攻击BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗币过程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台,其中部分 ETH 代币被兑换成 BTC。此外,黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链,目前,初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/11/3 6:28:49]
这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。原地址
BiKi平台入驻慢雾区 发布“安全漏洞与威胁情报赏金计划”:为了进一步保障用户资产安全,提高平台安全风控等级,BiKi平台入驻慢雾区,发布“安全漏洞与威胁情报赏金计划”,严重漏洞最高奖励$10,000等值BIKI。
BiKi是一家数字资产交易服务和区块链技术提供商,旗下包括币币、合约、网格、杠杆、余币宝、抵押借贷、ETF、流动性挖矿等业务。致力于为用户提供安全、稳定、高效的服务。
慢雾科技是一家专注区块链生态安全的国家高新技术企业,提供“威胁发现到威胁防御一体化因地制宜的安全解决方案”,包括:安全审计、威胁情报(BTI)、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反(AML)、假充值漏洞扫描等SAAS型安全产品。[2021/1/18 16:26:21]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。