ORA:详解DNS劫持，如何防范相关风险？

原文作者：余弦，慢雾科技创始人

DNSHijacking(劫持)大家应该都耳濡目染了，历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance，十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我这里做个简单分享。

DNS可以让我们访问目标域名时找到对应的IP：

Domain->IP_REAL

如果这种指向关系被攻击者替换了：

Domain->IP_BAD(攻击者控制)

众议院民主党领袖Maxine Waters：对PayPal的稳定币“深感担忧”:金色财经报道，美国众议院民主党领袖、众议院金融服务委员会成员Maxine Waters（加利福尼亚州民主党人）周三发表声明称，她“对 PayPal 选择推出自己的稳定币深表担忧，因为联邦对监管、监督和执行这些资产的框架仍然是空白的”。

Waters指出，PayPal在全球拥有 4.35 亿客户，比所有最大银行的在线账户数量总和还多，鉴于 PayPal 的规模和影响力，联邦对其稳定币业务的监督和执行对于保障消费者保护和缓解金融稳定问题至关重要。[2023/8/10 16:16:18]

那这个IP_BAD所在服务器响应的内容，攻击者就可以任意伪造了。最终对于用户来说，在浏览器里目标域名下的任何内容都可能有问题。

NFT交易市场ZORA奖励计划中包含空投相关服务条款:7月27日消息，据NFT交易市场ZORA官方发布的服务条款文档显示，第5.6.条奖励计划为：Zora有权自行决定是否为用户使用其服务提供某些激励和奖励，这可能包括但不限于向用户在服务中使用的钱包进行加密资产的空投。

此外，获取此类奖励的条件将由Zora自行决定。在参与任何奖励计划时，用户可能需要在相关的奖励发放期间使用符合条件的钱包来领取奖励。Zora保留在其自行决定的情况下随时更改、修改、终止或取消任何奖励计划的权利，而无需事先通知用户，并对此不承担任何责任。

此前报道，Zora于2022年5月宣布以6亿美元估值完成5000万美元融资，Haun Ventures领投，Coinbase Ventures等参投。[2023/7/27 16:01:54]

DNS劫持其实分为好几种可能性，比如常见的有两大类：

三六零计划推出类ChatGPT产品:金色财经报道，三六零表示，公司的人工智能研究院从2020年开始一直在包括类ChatGPT技术在内的AIGC技术上有持续性的投入，但截至目前仅作为内部业务自用的生产力工具使用，且投资规模及技术水平与当前的ChatGPT 3相比还有较大差距，各项技术指标只能做到略强于ChatGPT 2。公司也计划尽快推出类ChatGPT技术的demo版产品。[2023/2/7 11:52:19]

域名控制台被黑，攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD)，或者直接修改Nameservers为攻击者控制的DNS服务器；

ODin META宣布推出基于UE5研发的冈格尼尔元宇宙零代码编辑器:7月2日消息，ODin META宣布推出基于UE5研发的冈格尼尔元宇宙零代码编辑器。用户可通过该编辑器在ODin META旗下的三国元开放世界中进行设计、编辑自己的数字空间。（odaily）[2022/7/2 1:46:10]

在网络上做粗暴的中间人劫持，强制把目标域名指向IP_BAD。

第1点的劫持可以做到静默劫持，也就是用户浏览器那端不会有任何安全提示，因为此时HTTPS证书，攻击者是可以签发另一个合法的。

第2点的劫持，在域名采用HTTPS的情况下就没法静默劫持了，会出现HTTPS证书错误提示，但用户可以强制继续访问，除非目标域名配置了HSTS安全机制。

重点强调下：如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况)，及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity)，那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛，一定要警惕。

对于项目方来说，除了对自己的域名HTTPSHSTS配置完备之外，可以常规做如下安全检查：

检查域名相关DNS记录(A及NS)是否正常；

检查域名在浏览器里的证书显示是否是自己配置的；

检查域名管理的相关平台是否开启了双因素认证；

检查Web服务请求日志及相关日志是否正常。

对于用户来说，防御要点好几条，我一一讲解下。

对于关键域名，坚决不以HTTP形式访问，比如：

http://examplecom

而应该始终HTTPS形式：

https://examplecom

如果HTTPS形式，浏览器有HTTPS证书报错，那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。

对于静默劫持的情况，不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等，其实站在用户角度来看，最终的体现都一样。浏览器侧不会有任何异常，直到有用户的资产被盗才可能发现。

那么这种情况下用户如何防御呢？

用户除了保持每一步操作的警惕外。

我推荐一个在Web2时代就非常知名的浏览器安全扩展：@noscript(推特虽然很久很久没更新，不过惊喜发现官网更新了，扩展也更新了)，是@ma1的作品。

NoScript默认拦截植入的JavaScript文件。

但是NoScript有一点的上手习惯门槛，有时候可能会很烦，我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行，其他的尽管在另一个浏览器(如Chrome)上进行。

隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的，驾驭后、习惯后，那么一切都还好。

但是这并不能做到完美防御，比如这次@CurveFinance的攻击，攻击者更改了其DNSA记录，指向一个IP_BAD，然后污染了前端页面的：

https://curvefi/js/app.ca2e5d81.js

植入了盗币有关的恶意代码。

如果我们之前NoScript信任了Curve，那么这次也可能中招。

可能有人会说了要不要多安装一些浏览器安全扩展，我的看法之前已经提过：

这个话题我暂时先介绍到这，目的是尽可能把其中要点进行安全科普。至于其他一些姿势，后面有机会我再展开。

标签：HTTTPSDNSORAhtt币价格今日行情tps币行情DNS币dora币消息

FTT热门资讯