DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享:
DNS可以让我们访问目标域名时找到对应的IP:vxhuang33868
Domain->IP_REAL
如果这种指向关系被攻击者替换了:
Domain->IP_BAD(攻击者控制)微博小新投资笔记
Crypto.com:并不像金融时报声称的那样依赖自营交易作为收入来源:金色财经报道,Crypto.com称,它并不像英国《金融时报》声称的那样依赖自营交易作为收入来源。拥有内部做市商不是一种有争议的做法。??虽然我们确实有一些做市活动,例如,我们在美国为我们受CFTC监管的产品Up/Downs拥有内部做市商。??这种做市活动是一种受监管的做法,只要有一个公平的竞争环境,即所有做市商都必须遵循相同的规则集,以确保市场公平和诚信。?
金色财经此前报道,英国《金融时报》周一报道称,Crypto.com拥有自营交易和做市团队,但声称不依赖自营交易作为收入来源。[2023/6/20 21:48:22]
那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性,比如常见的有两大类:
MakerDAO社区发起“是否将现有USDC为主的PSM稳定币储备多样化”投票:3月21日消息,MakerDAO 社区发起 PSM 参数标准化民意投票,提案选项一为使锚定稳定模块(PSM)稳定币储备多样化,以分散风险和提高稳定币流动性的弹性。选项二为维持 USDC 作为主要储备。当前,选项二投票赞成率为60.24%。投票将于3月23日00:00结束。[2023/3/21 13:16:57]
1.域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;
zkSync宣布将与buidlbox合作开启zkSync Era系列黑客松:2月18日消息,zkSync宣布将与buidlbox合作开启zkSync Era系列黑客松,旨在能为任何经验水平的开发人员提供探索zkSync Era潜力的机会。该系列的首黑客松将与2月20日开启,3月19日结束,重点关注帐户抽象和Web3安全,奖池金额为25,000美元。[2023/2/18 12:14:38]
2.在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。
第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。
数据:持1枚以上ETH的地址数达1个月低点:金色财经报道,Glassnode数据显示,当前持有1枚以上ETH的地址数为1,554,921,达1个月低点。[2022/8/20 12:37:17]
第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。
重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。
对于项目方来说,除了对自己的域名HTTPS+HSTS配置完备之外,可以常规做如下安全检查:
1.检查域名相关DNS记录(A及NS)是否正常;
2.检查域名在浏览器里的证书显示是否是自己配置的;
3.检查域名管理的相关平台是否开启了双因素认证;
4.检查Web服务请求日志及相关日志是否正常。
对于用户来说,防御要点好几条,我一一讲解下。
对于关键域名,坚决不以HTTP形式访问,
而应该始终HTTPS形式
如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。
对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。
那么这种情况下用户如何防御呢?用户除了保持每一步操作的警惕外。
我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。
NoScript默认拦截植入的JavaScript文件。
但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。
隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。
但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的
植入了盗币有关的恶意代码。
如果我们之前NoScript信任了Curve,那么这次也可能中招。
可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过
这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。
如果你觉得对你有帮助或有什么要补充的,欢迎参与讨论。
原文作者:Karen,ForesightNewsUniswap在收购NFT聚合市场Genie之后,又宣布将通过sudoswap实现NFT交易,而就在Uniswap官宣该合作关系前的半个月.
1900/1/1 0:00:00原文作者:汤圆8月5日,NFT项目Moonbirds创始人KevinRose在社交媒体推特上公开宣布,将Moonbirds和MoonbirdsOddities系列NFT转为「CC0模式」.
1900/1/1 0:00:00親愛的用戶:幣安“質押借幣”平台新增可質押資產FLOW。注意:幣安會根據市場實際運行情況和風險程度動態調整可借幣種/質押幣種/利率/最大可借額度等參數。訪問質押借幣資料頁面,獲取更多詳情信息.
1900/1/1 0:00:00AMGEX现与隐私AI计算网络PlatON达成战略合作。双方将着力于系统安全、分布式账本、数据隐私、社区用户等领域进行全方位合作,旨在有效保护用户隐私数据,打造更加安全的数字资产平台.
1900/1/1 0:00:002022年,加密市场牛熊频出,对于很多现货交易者们来说,市场的频繁动荡很容易造成抄底失败被套牢。在行情走势不稳定的情况下,越来越多投资者纷纷投身合约交易.
1900/1/1 0:00:00自2022年6月以太坊触底至885美元左右以来,以太坊的原生资产ETH的价值已经翻了一倍多。现在,根据一系列技术和基本面指标,它着眼于8月向2,500美元迈出决定性的一步.
1900/1/1 0:00:00