Биржа dYdX выпустила постмортем по взлому аккаунта Squarespace на сумму 31 тыс. долларов

Хассан Шитту

Последнее обновление:

25 июля 2024 года, 23:35 по восточному времени | 2 мин чтения

dYdX, ведущая криптовалютная биржа, объявила 23 июля, что ее веб-сайт версии 3.0 был скомпрометирован.

Пользователям рекомендуется воздерживаться от посещения сайта версии 3.0 или нажатия на любые ссылки до получения дальнейших указаний. Тем не менее, команда заверила пользователей, что версия 4.0 остается незатронутой и функционирует нормально.

dYdX выпустил подробный постмортем по взлому счета Squarespace, описав события и их реакцию. Биржа решила сменить регистраторов доменов и продолжает работать с SEAL и другими партнерами для предотвращения будущих инцидентов.

Веб-сайт биржи dYdX скомпрометирован из-за атаки социальной инженерии

Регистратор доменных имен для (ранее Squarespace) подтвердил, что 23 июля счет dYdX Trading’s Squarespace был доступен несанкционированным лицам после того, как им удалось социально-инженерную поддержку клиентов Squarespace.

• dYdX (@dYdX) 25 июля 2024 г.

Согласно результатам вскрытия, нарушение произошло после того, как несанкционированные лица получили доступ к учетной записи dYdX Trading на платформе Squarespace через атаку методом социальной инженерии на поддержку клиентов Squarespace.

Во время двухчасового перехвата домена биржи два пользователя потеряли суммарно около $31,000. dYdX Trading находится в контакте с пострадавшими пользователями, чтобы обеспечить их компенсацию.

В 2023 году Squarespace приобрел все домены от ныне несуществующего Google Domains, перенеся их в течение нескольких месяцев. Домен dydx.exchange, принадлежащий dYdX Trading, был перенесен на Squarespace 15 июня 2024 года.

9 июля злоумышленники получили доступ к домену dydx.exchange и изменили DNS-серверы с Cloudflare на DDoS-Guard.

этот первоначальный атака была смягчена настройками dnssec, которые предотвратили доступ пользователей к скомпрометированному сайту. dydx быстро решил проблему путем смены пароля и двухфакторной аутентификации (2fa) rotations.

После сообщений о похожих атаках на специфические для криптовалюты домены команда SEAL, специализирующаяся на безопасности криптовалюты, начала расследование. Было обнаружено, что была использована уязвимость OAuth на платформе Squarespace, которую Squarespace исправила 12 июля.

Тем не менее, домен dydx.exchange был вновь скомпрометирован 23 июля. Злоумышленники смогли изменить DNS-серверы и удалить настройки DNSSEC, разместив зловредный сайт, который обманул пользователей, заставив их перевести Ethereum и токены ERC20.

В течение этого периода dYdX сотрудничал с SEAL и другими партнерами, чтобы заблокировать вредоносные сайты в популярных криптокошельках, таких как Metamask и Phantom. Несмотря на эти усилия, двое пользователей потеряли $31,000 во время атаки.

Биржа dYdX восстанавливает веб-сайт после взлома аккаунта Squarespace

Пожалуйста, ознакомьтесь с полным пост-мортемом ниже.

• dYdX (@dYdX) 25 июля 2024 г.

Последующий анализ показал, что злоумышленник установил электронную почту администратора домена на адрес, заканчивающийся на outlook.com, с именем пользователя, похожим на легальное имя биллинг-администратора на счету DYDX. Это указывает на атаку социальной инженерии, так как злоумышленник использовал достоверный адрес электронной почты.

По словам dYdX, его коммуникация с Squarespace показала, что человеческая ошибка инициировала захват во время процесса восстановления счета.

Злоумышленник обошел 2FA и изменил адрес электронной почты счета без предоставления действительных учетных данных безопасности. Служба поддержки клиентов Squarespace не пыталась связаться с другими перечисленными администраторами на домене перед внесением этих изменений.

В ответ на атаку dYdX передал регистрацию своего домена в Cloudflare для повышения безопасности. Перенос был ускорен и завершен в течение шести часов.

dYdX подтвердил, что в результате происшествий не было проблем с безопасностью его смарт-контрактов, бэкэндом или сетью dYdX Chain.

веб-сайт восстановлен компанией dYdX Trading Inc. 🙏

Пожалуйста, обратите внимание, что ваш компьютер может все еще кэшировать скомпрометированный сайт.

Убедитесь, что вы очистили кэш и перезапустили браузер перед подключением к веб-сайту.

— dYdX (@dYdX) 23 июля 2024 г.

Команда dYdX заявила в социальных сетях, что рекомендует пользователям очистить кеш браузера и перезапустить браузер перед повторным подключением к веб-сайту, чтобы убедиться, что они не получают доступ к скомпрометированному сайту.

Следуйте за нами в Google Новости