El intercambio de dYdX publica una autopsia sobre la pérdida de la cuenta de Squarespace de $31K hackeada

Hassan Shittu

Última actualización:

25 de julio de 2024, 23:35 EDT | 2 min read

dYdX, un prominente intercambio de criptomonedas, anunció el 23 de julio que su sitio web de la versión 3.0 había sido comprometido.

Se ha recomendado a los usuarios que eviten visitar el sitio de la versión 3.0 o hacer clic en cualquier enlace hasta nuevo aviso. Sin embargo, el equipo aseguró a los usuarios que la versión 4.0 sigue sin verse afectada y funciona con normalidad.

dYdX ha publicado un detallado informe post mortem sobre el hackeo de la cuenta de Squarespace, describiendo los eventos y sus respuestas. El intercambio ha decidido cambiar de registradores de dominio y continúa trabajando con SEAL y otros socios para prevenir incidentes futuros.

Sitio web de dYdX Exchange comprometido debido a un ataque de ingeniería social

El registrador de dominios para (anteriormente Squarespace) ha confirmado que el 23 de julio, la cuenta de Squarespace de dYdX Trading fue accedida por personas no autorizadas después de que lograron manipular socialmente al soporte de clientes de Squarespace.

— DYDX (@DYDX) 25 de julio de 2024

Según la autopsia, la violación se produjo después de que personas no autorizadas accedieran a la cuenta de Squarespace de dYdX Trading a través de un ataque de ingeniería social al soporte del cliente de Squarespace.

Durante las dos horas de secuestro del dominio de intercambio, dos usuarios perdieron fondos por un total de aproximadamente $31,000. La plataforma de negociación de dYdX está en contacto con los usuarios afectados para asegurarse de que sean compensados.

En 2023, Squarespace adquirió todos los dominios de Google Domains, que ahora están inactivos, migrándolos durante varios meses. El dominio dydx.exchange, propiedad de dYdX Trading, se trasladó a Squarespace el 15 de junio de 2024.

El 9 de julio, los atacantes obtuvieron acceso al dominio dydx.exchange y modificaron los servidores de nombres DNS de Cloudflare a DDoS-Guard.

Este ataque inicial fue mitigado por la configuración de DNSSEC, que impidió que los usuarios accedieran al sitio comprometido. DYDX resolvió rápidamente el problema a través de rotaciones de contraseña y autenticación de dos factores (2FA).

Tras los informes de ataques similares en dominios específicos de criptomonedas, SEAL, un equipo de seguridad centrado en criptomonedas, inició una investigación. Se descubrió que se había explotado una vulnerabilidad de OAuth en Squarespace, que Squarespace abordó y solucionó el 12 de julio.

A pesar de esto, el dominio dydx.exchange fue comprometido nuevamente el 23 de julio. Los atacantes lograron cambiar los servidores de nombres DNS y eliminar la configuración de DNSSEC, alojando un sitio malicioso que engañó a los usuarios para transferir Ethereum y tokens ERC20.

Durante este período, dYdX colaboró con SEAL y otros socios para bloquear sitios maliciosos en billeteras de criptomonedas populares como Metamask y Phantom. A pesar de estos esfuerzos, dos usuarios perdieron $31,000 durante el ataque.

El intercambio dYdX recupera su sitio web después de un hackeo de la cuenta de Squarespace

Por favor, vea el informe completo a continuación.

— DYDX (@DYDX) 25 de julio de 2024

El examen post mortem reveló además que el atacante había establecido el correo electrónico del administrador de dominio en una dirección que terminaba en outlook.com, con un nombre de usuario similar al nombre legal del administrador de facturación en la cuenta de dYdX. Esto sugiere un ataque de ingeniería social, ya que el atacante utilizó una dirección de correo electrónico creíble.

Según dYdX, sus comunicaciones con Squarespace revelaron que un error humano inició la toma de posesión durante el proceso de recuperación de cuenta.

El atacante pasó por alto 2FA y modificó el email de la cuenta sin proporcionar credenciales de seguridad válidas. El servicio al cliente de Squarespace no intentó ponerse en contacto con otros administradores listados en el dominio antes de realizar estos cambios.

Como respuesta al ataque, dYdX transfirió su registro de dominio a Cloudflare para mejorar la seguridad. La transferencia se aceleró y se completó en un plazo de seis horas.

dYdX confirmó que no hubo problemas de seguridad con sus contratos inteligentes, backend, o la cadena dYdX como resultado de los incidentes.

El sitio web ha sido recuperado por dYdX Trading Inc. 🙏

Tenga en cuenta que su máquina aún podría estar almacenando en caché el sitio comprometido.

Asegúrate de borrar la caché y reiniciar tu navegador antes de conectarte al sitio web.

— dYdX (@dYdX) 23 de julio de 2024

El equipo de dYdX declaró en las redes sociales X, aconsejando a los usuarios que borren la caché de su navegador y reinicien su navegador antes de volver a conectarse al sitio web para asegurarse de que no estaban accediendo al sitio comprometido.

Síguenos en Google News