Más de 120 protocolos DeFi en riesgo por presunto ataque DNS de Squarespace

Compartir este artículo

La empresa de seguridad blockchain Blockaid ha advertido sobre un posible incidente de secuestro de dominio que afecta a Compound, Celer Network y potencialmente otros 120 protocolos. Según el informe, hoy, 11 de julio, se detectó un nuevo ataque frontal, precedido por un ataque inicialmente benigno desde el 6 de julio.

Este desarrollo sigue al informe de Crypto Briefing de hoy sobre la confirmación por parte de Compound Labs de que el frente de su sitio web, compound[.]finance, fue comprometido. Blockaid señala que el atacante también ha intentado comprometer Celer Network después de tomar control del DNS de Compound.

El ataque fue detectado por primera vez cuando los usuarios notaron que la interfaz de Compound en compound[.]finance redirigía a un sitio web malicioso que contenía una aplicación de drenaje de tokens. Celer Network también confirmó un intento de toma de su dominio, que fue frustrado por su sistema de monitoreo.

La investigación de Blockaid sugiere que el atacante está específicamente apuntando a nombres de dominio provistos por Squarespace, poniendo potencialmente en riesgo cualquier aplicación DeFi que use un dominio de Squarespace.

«Desde una evaluación inicial, parece que los atacantes operan secuestrando los registros DNS de proyectos alojados en SquareSpace,» afirmó la firma de seguridad en X.

0xngmi, desarrollador de la plataforma de análisis blockchain DefiLlama, compartió una lista de 125 protocolos DeFi que podrían estar afectados por este ataque. La lista incluye proyectos destacados como Thorchain, Aptos Labs, Near, Flare, Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, Ferrum y MantaDAO, entre otros.

En respuesta a la amenaza, la cartera Web3 MetaMask anunció que está trabajando para advertir a los usuarios sobre aplicaciones potencialmente comprometidas asociadas con el ataque. «Para aquellos de ustedes que usan MetaMask, verán una advertencia proporcionada por @blockaid_ si intentan realizar una transacción en cualquier sitio conocido que esté involucrado en este ataque actual,» declaró la empresa.

Este incidente de secuestro de nombres de dominio es el último de una serie de ataques que apuntan al sector DeFi. En diciembre, un ataque similar vio código malicioso inyectado en la biblioteca Ledger Connect, afectando gran parte del ecosistema de la Ethereum Virtual Machine.

Métodos de explotación posibles

El ataque DNS a aplicaciones DeFi ha generado especulaciones sobre métodos de explotación potenciales.

Según un investigador de seguridad en contacto directo con este autor, los métodos posibles podrían variar desde tácticas sofisticadas de pre-registro, en las cuales los actores de amenazas podrían haber registrado dominios antes de que se completaran las transferencias de Google a Squarespace, hasta inscripciones masivas de dominios que podrían mezclarse con dominios legítimos de Squarespace.

El investigador, que respondió a las preguntas bajo condición de anonimato, señaló que esta serie de incidentes también podría haber sido ejecutada mediante envenenamiento de cache DNS, más comúnmente conocido como suplantación de DNS, un método en el que se inyectan datos falsos en una caché DNS, lo que resulta en que las consultas DNS devuelvan una respuesta incorrecta, dirigiendo a los usuarios a sitios web equivocados, posiblemente maliciosos.

Basándose en las conversaciones de este autor con el investigador de infosec, teorías más alarmantes sugieren una violación directa de la seguridad de Squarespace, que podría permitir a los atacantes manipular registros DNS directamente desde la fuente.

Aunque un período típico de bloqueo de transferencia de dominio hace que algunos vectores de ataque sean menos probables, el amplio impacto sugiere una vulnerabilidad sistémica. Para contexto, Squarespace anunció que había completado la adquisición del negocio de dominios de Google el 7 de septiembre de 2023.

Es crucial señalar que estas son teorías especulativas, no hechos confirmados sobre el método de ataque. La explotación probablemente aprovechó una combinación de tácticas o una vulnerabilidad aún no divulgada en el sistema de gestión de dominios.

Esta historia está en desarrollo y será actualizada. Crypto Briefing ha contactado a Squarespace para obtener comentarios.

A medida que se desarrollan los incidentes de ataques en el sector DeFi, la seguridad de los dominios alojados en plataformas como Squarespace se ha vuelto un punto crítico de vulnerabilidad que requiere atención continua y medidas de seguridad mejoradas.

Compartir este artículo