Polygon и Fantom претърпяха DNS атаки

Главният служител по информационната сигурност на Polygon Мудит Гупта съобщи в петък, че Ankr, доставчикът на инфраструктурата на мрежата, е претърпял DNS атака.

Public RPC gateway provided by Ankr for Polygon (https://t.co/NEQW6sEUKe) and Fantom (https://t.co/apZkmh2ERA) were comprised via DNS hijack earlier today.

Polygon and Fantom foundation have no control over services provided by others.

Use Alchemy or others while this is fixed.

— Mudit Gupta (@Mudit__Gupta) July 1, 2022

Нападателите са успели да превземат RPC на две платформи, свързани с криптография – Polygon и Fantom. Според наличната информация хакерите може да се стремят лукаво да подмамят потребителите да предоставят информация за сийд фраза на портфейла си.

RPC са вид софтуерен комуникационен инструмент, използван за прехвърляне на данни между различни мрежи.

Ankr разкри, че работи по проблемите, повдигнати от членовете на общността, като същевременно ги съветва да използват други RPC като алтернатива на компрометираните.

Актуализация в Twitter от съоснователя на Ankr Чандлър Сонг разкри, че хакването е “причинено от @gandibar, който променя имейл адресите на клиентите си без тяхното одобрение”. RPC са вид софтуерни инструменти за комуникация, използвани за прехвърляне на данни между мрежите.

Actually this is caused by @gandibar changing their customers’ email addresses without their approval.

— Chandler Song (@chandlersyf) July 1, 2022

Gandibar е популярен регистратор на имена на домейни.

Ankr разкри, че работи по проблемите, повдигнати от членовете на общността, като същевременно ги съветва да използват други RPC като алтернатива на компрометираните.

Сандип, съосновател на Polygon, потвърди, че средствата на неговите потребители са в безопасност, като същевременно ги посъветва да използват други доставчици на RPC като Infura и други.

GM,

1. Polygon POS RPC provided by @0xPolygon Infra provider @ankr were compromised by DNS hack. Currently Being resolved.

2. You can use any other RPC provider like @infura_io @AlchemyPlatform etc

3. Polygon POS chain is running perfectly fine

4. ALL USER FUNDS ARE SAFE https://t.co/8duSW4dTuN

— Sandeep | Polygon 3️⃣ (@sandeepnailwal) July 1, 2022

Нападателите на Polygon са поискали сийд фраза

Наличните подробности сочат, че потребителите на компрометирания RPC са получили съобщение за грешка, което ги е насочило незабавно да прехвърлят средствата си към друга платформа с адрес: polygonapp[.]net.

Чрез него те се прехвърлят на съвсем различна страница, на която се иска тяхната сийд фраза.

ПРОЧЕТИ ОЩЕ: Европейският съюз постигна споразумение за MiCA

Злонамерените играчи винаги измислят нови методи и планове как да измамят нищо неподозиращите лица. Вчера Министерството на правосъдието на САЩ повдигна обвинения на шест лица за ролята им в различни криптопрестъпления.

Други криптопроекти пострадаха от подобни атаки

Забележително е, че на 24 юни се случи подобна DNS атака, при която бяха засегнати няколко DeFi проекта. Някои от засегнатите проекти тук бяха Convex Finance, Ribbon Finance, Allbridge и DeFisaver.

So far 4 #ethereum DeFi projects experienced a DNS hijack attack.@ConvexFinance @ribbonfinance @DeFiSaver and Allbridge.

They are all using @Namecheap and logged into their accounts to see DNS changed. So far namecheap has provided no explanation.@Namecheap this is serious pic.twitter.com/KD9w8GJAgp

— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) June 24, 2022

Според наличната информация за тази атака всички засегнати проекти са използвали Namecheap като регистратор на домейни.

The pattern seems to be the same for all. @Alexintosh noticed it first here: https://t.co/lIRc8EvCF4

See how first 4 and last 4 characters of the addy are the same. But the asked addy is not convex finance booster but an attack contract to drain your funds once you approve. pic.twitter.com/YsoJgLQsGD

— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) June 24, 2022

В Twitter Ричард Киркендал, главен изпълнителен директор на Namecheap, разкри, че атаката е била проследена до “конкретен CS агент, който е бил хакнат или компрометиран”, но фирмата е “премахнала целия достъп от този агент”.