A Exchange dYdX lança postmortem sobre a perda de hack de conta Squarespace de $31K

Hassan Shittu

Última atualização:

25 de julho de 2024, 23:35 EDT | Leitura de 2 minutos

A dYdX, uma exchange de criptomoedas proeminente, anunciou em 23 de julho que seu site da versão 3.0 foi comprometido.

Os utilizadores foram aconselhados a evitar visitar o site da versão 3.0 ou clicar em quaisquer links até novo aviso. No entanto, a equipa assegurou aos utilizadores que a versão 4.0 não foi afetada e está a funcionar normalmente.

dYdX lançou um postmortem detalhado sobre o hack da conta Squarespace, delineando os eventos e suas respostas. A exchange decidiu mudar os registradores de domínio e continua a trabalhar com SEAL e outros parceiros para evitar incidentes futuros.

O site da dYdX Exchange foi comprometido devido a um ataque de engenharia social

O registro de domínio para (anteriormente Squarespace) confirmou que em 23 de julho, a conta Squarespace da dYdX Trading foi acessada por indivíduos não autorizados depois que eles conseguiram enganar o suporte ao cliente da Squarespace.

— dYdX (@dYdX) 25 de julho de 2024

De acordo com a autópsia, a violação ocorreu depois de indivíduos não autorizados terem acedido à conta Squarespace da dYdX Trading através de um ataque de engenharia social aos clientes de suporte do Squarespace.

Durante as duas horas de sequestro do domínio da exchange, dois utilizadores perderam fundos num total de aproximadamente $31,000. A dYdX Trading está em contacto com os utilizadores afetados para garantir que são compensados.

Em 2023, a Squarespace adquiriu todos os domínios da agora extinta Google Domains, migrando-os ao longo de vários meses. O domínio dydx.exchange, de propriedade da dYdX Trading, foi transferido para a Squarespace em 15 de junho de 2024.

Em 9 de julho, os atacantes obtiveram acesso ao domínio dydx.exchange e modificaram os servidores de nomes DNS da Cloudflare para DDoS-Guard.

este ataque inicial foi mitigado pelas configurações do DNSSEC, que impediram os utilizadores de aceder ao site comprometido. A dydx resolveu rapidamente o problema através da rotação de senha e autenticação de dois fatores (2FA).

Após relatos de ataques semelhantes a domínios específicos de criptomoedas, a equipe de segurança focada em criptomoedas SEAL iniciou uma investigação. Descobriu-se que uma vulnerabilidade do OAuth no Squarespace havia sido explorada, e o Squarespace tratou e corrigiu em 12 de julho.

Apesar disso, o domínio dydx.exchange foi comprometido novamente em 23 de julho. Os atacantes conseguiram alterar os servidores de nomes DNS e remover as configurações do DNSSEC, hospedando um site malicioso que enganou os usuários a transferir Ethereum e tokens ERC20.

Durante este período, a dYdX colaborou com a SEAL e outros parceiros para bloquear sites maliciosos em carteiras de criptomoedas populares como Metamask e Phantom. Apesar desses esforços, dois usuários perderam $31,000 durante o ataque.

A Exchange dYdX Recupera Website Seguindo o Hack da Conta Squarespace

Por favor, veja o post-mortem completo abaixo.

— dYdX (@dYdX) 25 de julho de 2024

A autópsia revelou ainda que o atacante tinha definido o email do administrador de domínio para um endereço terminado em outlook.com, com um nome de usuário semelhante ao nome legal do administrador de faturação na conta do dYdX. Isso sugeriu um ataque de engenharia social, pois o atacante usou um endereço de email plausível.

De acordo com a dYdX, as suas comunicações com a Squarespace revelaram que um erro humano iniciou a tomada de posse durante o processo de recuperação da conta.

O atacante contornou o 2FA e modificou o email da conta sem fornecer credenciais de segurança válidas. O serviço ao cliente do Squarespace não tentou entrar em contato com outros administradores listados no domínio antes de fazer essas alterações.

Em resposta ao ataque, a dYdX transferiu seu registro de domínio para o Cloudflare para aumentar a segurança. A transferência foi acelerada e concluída em seis horas.

A dYdX confirmou que não houve problemas de segurança com seus contratos inteligentes, backends, ou a cadeia dYdX como resultado dos incidentes.

website has been recovered by DYDX Trading Inc. 🙏

Por favor, note que a sua máquina pode ainda estar a fazer cache do site comprometido.

Certifique-se de limpar o cache e reiniciar o navegador antes de se conectar ao site.

• dYdX (@dYdX) 23 de julho de 2024

A equipe da dYdX afirmou nas redes sociais X, aconselhando os usuários a limpar o cache do navegador e reiniciá-lo antes de se reconectar ao site para garantir que não estivessem acessando o site comprometido.

Siga-nos no Google News