Pertukaran dYdX Merilis Laporan Pasca Mortem tentang Kerugian $31K dalam Serangan Akun Squarespace yang Hilang

Hassan Shittu

Terakhir diperbarui:

25 Juli 2024, 23:35 EDT | 2 min read

dYdX, sebuah pertukaran kripto yang terkemuka, mengumumkan pada tanggal 23 Juli bahwa situs web versi 3.0 telah diretas.

Pengguna telah diarahkan untuk menghindari mengunjungi situs versi 3.0 atau mengklik tautan apa pun sampai pemberitahuan lebih lanjut. Namun, tim memastikan kepada pengguna bahwa versi 4.0 tetap tidak terpengaruh dan berfungsi normal.

dYdX telah merilis laporan postmortem terperinci tentang peretasan akun Squarespace, menguraikan peristiwa dan respons mereka. Pertukaran telah memutuskan untuk mengubah registrar domain dan terus bekerja dengan SEAL dan mitra lainnya untuk mencegah insiden di masa depan.

Situs Pertukaran dYdX Tercompromi Karena Serangan Rekayasa Sosial

Registrar domain untuk (sebelumnya Squarespace) telah mengkonfirmasi bahwa pada tanggal 23 Juli, akun Squarespace dYdX Trading telah diakses oleh individu yang tidak berwenang setelah mereka berhasil melakukan social-engineering terhadap dukungan pelanggan Squarespace.

— dYdX (@dYdX) 25 Juli 2024

Menurut laporan pasca mati, pelanggaran terjadi setelah individu yang tidak berwenang mengakses akun Squarespace dYdX Trading melalui serangan teknik sosial pada dukungan pelanggan Squarespace.

Selama hijacking domain pertukaran selama dua jam, dua pengguna kehilangan dana total sekitar $31.000. Perdagangan dYdX sedang berhubungan dengan pengguna terkena dampak untuk memastikan mereka mendapatkan kompensasi.

Pada tahun 2023, Squarespace mengakuisisi semua domain dari Google Domains yang kini sudah tidak aktif, dan memigrasikannya selama beberapa bulan. Domain dydx.exchange, yang dimiliki oleh dYdX Trading, dipindahkan ke Squarespace pada 15 Juni 2024.

Pada 9 Juli, penyerang mendapatkan akses ke domain dydx.exchange dan mengubah nameserver DNS dari Cloudflare menjadi DDoS-Guard.

serangan awal ini dibatasi oleh pengaturan dnssec, yang mencegah pengguna mengakses situs yang dikompromikan. dydx dengan cepat menyelesaikan masalah melalui rotasi kata sandi dan autentikasi dua faktor (2fa).

Setelah laporan serangan serupa terhadap domain khusus kripto, SEAL, tim keamanan yang fokus pada kripto, memulai penyelidikan. Ditemukan bahwa kerentanan OAuth pada Squarespace telah dieksploitasi, yang kemudian diperbaiki oleh Squarespace pada tanggal 12 Juli.

Namun demikian, domain dydx.exchange kembali diretas pada tanggal 23 Juli. Para penyerang berhasil mengubah DNS Nameservers dan menghapus pengaturan DNSSEC, serta menyelenggarakan situs berbahaya yang memperdaya pengguna untuk mentransfer Ethereum dan token ERC20.

Selama periode ini, dYdX bekerja sama dengan SEAL dan mitra lainnya untuk memblokir situs jahat di dompet kripto populer seperti Metamask dan Phantom. Meskipun upaya tersebut, dua pengguna kehilangan $31,000 selama serangan.

Pertukaran dYdX Memulihkan Situs Web Setelah Akun Squarespace Diretas

Silakan lihat laporan posmortem lengkap di bawah ini.

— dYdX (@dYdX) 25 Juli 2024

Post mortem lebih lanjut mengungkapkan bahwa penyerang telah mengatur email admin domain ke alamat yang berakhir dengan outlook.com, dengan nama pengguna yang mirip dengan nama lengkap administrator penagihan pada akun dYdX. Ini menunjukkan serangan rekayasa sosial, karena penyerang menggunakan alamat email yang dapat dipercaya.

Menurut dYdX, komunikasinya dengan Squarespace mengungkapkan bahwa kesalahan manusia memulai pengambilalihan selama proses pemulihan akun.

Penyerang menghindari 2FA dan mengubah email akun tanpa memberikan kredensial keamanan yang valid. Layanan pelanggan Squarespace tidak mencoba menghubungi admin lain yang terdaftar di domain sebelum melakukan perubahan ini.

Sebagai tanggapan atas serangan tersebut, dYdX mentransfer pendaftaran domainnya ke Cloudflare untuk meningkatkan keamanan. Transfer ini dipercepat dan selesai dalam waktu enam jam.

dYdX mengkonfirmasi bahwa tidak ada masalah keamanan dengan smart contract, backend, atau dYdX Chain sebagai hasil dari insiden tersebut.

situs web telah dipulihkan oleh dYdX Trading Inc. 🙏

Harap dicatat bahwa mesin Anda mungkin masih menyimpan cache situs yang kompromi.

Pastikan untuk membersihkan cache dan restart browser Anda sebelum terhubung ke situs web.

— dYdX (@dYdX) 23 Juli 2024

Tim dYdX menyatakan di media sosial X, menyarankan pengguna untuk membersihkan cache browser mereka dan me-restart browser mereka sebelum terhubung kembali ke situs web untuk memastikan bahwa mereka tidak mengakses situs yang kompromi.

Ikuti Kami di Google News