Aerodrome Finance, die fĂŒhrende DEX von Base, untersucht einen DNS-Hijacking-Angriff auf seine zentralisierten Domains, der Benutzer Phishing-Versuchen aussetzte, die auf NFTs, ETH und USDC durch bösartige Signaturanfragen abzielten.
Aerodrome Finance, die fĂŒhrende dezentrale Börse im Base-Netzwerk, bestĂ€tigte, dass sie einen vermuteten DNS-Hijacking-Angriff untersucht, der ihre zentralisierten Domains kompromittiert hat.
Das Protokoll warnte die Benutzer, den Zugriff auf seine primÀren .finance- und .box-Domains zu vermeiden und stattdessen zwei sichere dezentrale Mirrors zu verwenden, die auf der ENS-Infrastruktur gehostet werden.
Der Angriff entfaltete sich schnell, wobei betroffene Nutzer böswillige Signaturanfragen meldeten, die darauf abzielten, mehrere Vermögenswerte, einschlieĂlich NFTs, ETH und USDC, durch unbegrenzte Genehmigungsaufforderungen abzuziehen.
WĂ€hrend das Team behauptet, dass alle Smart Contracts sicher bleiben, setzte der Frontend-Kompromiss die Benutzer ausgeklĂŒgelten Phishing-Versuchen aus, die die Wallets derjenigen, die die Transaktionsgenehmigungen nicht sorgfĂ€ltig ĂŒberwachten, hĂ€tten abziehen können.
DNS-Hijacking zwingt zur Notfallprotokoll-Sperrung
Die Untersuchung von Aerodrome begann, als das Team ungewöhnliche AktivitÀten auf seiner primÀren Domain-Infrastruktur etwa sechs Stunden vor der Veröffentlichung öffentlicher Warnungen feststellte.
Das Protokoll kennzeichnete sofort seinen Domainanbieter, Box Domains, als potenziell kompromittiert und drÀngte den Dienst, dringend Kontakt aufzunehmen.
Innerhalb von Stunden bestĂ€tigte das Team, dass beide zentralisierten Domains, .finance und .box, ĂŒbernommen worden waren und unter der Kontrolle des Angreifers blieben.
Das Protokoll reagierte, indem es den Zugang zu allen primÀren URLs abschaltete, wÀhrend es zwei verifiziert sichere Alternativen einrichtete: aero.drome.eth.limo und aero.drome.eth.link.
Diese dezentralen Spiegel nutzen den Ethereum Name Service, der unabhĂ€ngig von traditionellen DNS-Systemen funktioniert, die anfĂ€llig fĂŒr Hijacking sind.
Das Team betonte, dass die Sicherheit des Smart Contracts wĂ€hrend des gesamten Vorfalls intakt blieb und der Vorfall ausschlieĂlich auf Frontend-Zugriffspunkte beschrĂ€nkt war.
Sister-Protokoll Velodrome sah sich Ă€hnlichen Bedrohungen gegenĂŒber, was das Team dazu veranlasste, parallele Warnungen zur Domainsicherheit herauszugeben.
Die koordinierte Natur der Warnungen deutete darauf hin, dass Angreifer möglicherweise systematisch die Infrastruktur von Box Domains angegriffen hatten, um mehrere DeFi-Plattformen gleichzeitig zu kompromittieren.
Benutzer berichten von aggressiven Mehrwertabzugsversuchen
Ein betroffener Benutzer beschrieb, wie er der bösartigen Schnittstelle begegnete, bevor offizielle Warnungen verbreitet wurden, und erlĂ€uterte, wie die kompromittierte Seite einen irrefĂŒhrenden zweistufigen Angriff durchfĂŒhrte.
Das gehackte Frontend forderte zunĂ€chst eine scheinbar harmlose Signatur an, die nur die Zahl â1â enthielt, um die ursprĂŒngliche Wallet-Verbindung herzustellen.
Unmittelbar nach dieser scheinbar harmlosen Anfrage löste die Schnittstelle eine unbegrenzte Anzahl von Genehmigungsaufforderungen fĂŒr NFTs, ETH, USDC und WETH aus.
âEs wurde nach einer einfachen Signatur gefragt und dann sofort versucht, unbegrenzte Genehmigungen zu erhalten, um NFTs, ETH und USDC abzuziehenâ, berichtete der Benutzer. âWenn du nicht aufgepasst hĂ€ttest, hĂ€ttest du alles verlieren können.â
Das Opfer dokumentierte den Angriff durch Screenshots und Videoaufzeichnungen, die den Verlauf von der ursprĂŒnglichen Signaturanfrage bis zu mehreren Abzugsversuchen festhielten.
Ihre Untersuchung, die mit KI-UnterstĂŒtzung durchgefĂŒhrt wurde, untersuchte Browserkonfigurationen, Erweiterungen, DNS-Einstellungen und RPC-Endpunkte, bevor sie zu dem Schluss kam, dass das Angriffsmuster mit der Methode des DNS-Hijackings ĂŒbereinstimmte.
Ein weiteres Community-Mitglied teilte kĂŒrzlich eine Erfahrung mit einem separaten, abziehenden Vorfall und beschrieb sich selbst als erfahrenen Veteranen und Full-Stack-Entwickler, der dennoch Opfer ausgeklĂŒgelter Angriffe wurde.
Trotz technischer Expertise verlor der Benutzer erhebliche Mittel und verbrachte 3 Tage damit, ein auf Jito-BĂŒndeln basierendes Skript zu entwickeln, um etwa 10-15 % der gestohlenen Vermögenswerte durch On-Chain-Stealth-Operationen wiederzuerlangen.
Krypto-Journalist
Anas Hassan
