Sàn giao dịch dYdX phát hành bản báo cáo sau vụ mất tài khoản Squarespace trị giá 31.000 đô la

Hassan Shittu

Cập nhật lần cuối:

25 tháng 7 năm 2024, 23:35 EDT | 2 phút đọc

dYdX, một sàn giao dịch tiền điện tử nổi bật, đã thông báo vào ngày 23 tháng 7 rằng trang web phiên bản 3.0 của họ đã bị xâm phạm.

Người dùng đã được khuyến cáo tránh việc truy cập trang web phiên bản 3.0 hoặc nhấp vào bất kỳ liên kết nào cho đến khi có thông báo tiếp theo. Tuy nhiên, nhóm đã đảm bảo người dùng rằng phiên bản 4.0 vẫn không bị ảnh hưởng và đang hoạt động bình thường.

dYdX đã phát hành một bản báo cáo chi tiết về vụ hack tài khoản Squarespace, đề cập đến các sự kiện và phản ứng của họ. Sàn giao dịch đã quyết định thay đổi nhà đăng ký tên miền và tiếp tục làm việc với SEAL và các đối tác khác để ngăn chặn các sự cố trong tương lai.

Trang web giao dịch dYdX bị xâm nhập do cuộc tấn công kỹ thuật xã hội

Đăng ký tên miền của Squarespace (trước đây là Squarespace) đã xác nhận rằng vào ngày 23 tháng 7, tài khoản Squarespace hỗ trợ của dYdX Trading đã bị truy cập bởi các cá nhân trái phép sau khi họ thành công trong việc xâm nhập Squarespace khách hàng hỗ trợ.

• dYdX (@dYdX) ngày 25 tháng 7 năm 2024

Theo bài viết tử thi, việc xâm nhập xảy ra sau khi các cá nhân trái phép truy cập vào tài khoản Squarespace của dYdX Trading thông qua một cuộc tấn công kỹ thuật xã hội lên dịch vụ hỗ trợ khách hàng Squarespace.

Trong suốt hai giờ chiếm đoạt tên miền sàn giao dịch, hai người dùng đã mất tổng cộng khoảng $31,000. Giao dịch dYdX đang liên lạc với những người dùng bị ảnh hưởng để đảm bảo họ được bồi thường.

Vào năm 2023, Squarespace đã mua tất cả các tên miền từ Google Domains đã ngừng hoạt động, di chuyển chúng trong vài tháng. Tên miền dydx.exchange, do dYdX Trading sở hữu, đã được chuyển đến Squarespace vào ngày 15 tháng 6 năm 2024.

Vào ngày 9 tháng 7, kẻ tấn công đã truy cập vào miền dydx.exchange và thay đổi các máy chủ tên DNS từ Cloudflare thành DDoS-Guard.

Cuộc tấn công ban đầu này đã được giảm nhẹ bởi cài đặt DNSSEC, ngăn người dùng truy cập vào trang web bị xâm nhập. Dydx nhanh chóng giải quyết vấn đề thông qua việc thay đổi mật khẩu và xác thực hai yếu tố (2FA).

Sau khi nhận được báo cáo về các cuộc tấn công tương tự vào các miền chỉ dành cho tiền điện tử, SEAL, một đội ngũ an ninh tập trung vào tiền điện tử, đã tiến hành một cuộc điều tra. Được phát hiện rằng một lỗ hổng OAuth trên Squarespace đã bị tấn công, và Squarespace đã khắc phục và sửa lỗi vào ngày 12 tháng 7.

Mặc dù vậy, tên miền dydx.exchange đã bị xâm nhập lần nữa vào ngày 23 tháng 7. Kẻ tấn công đã thay đổi máy chủ tên miền DNS và loại bỏ cài đặt DNSSEC, lưu trữ một trang web độc hại đã lừa người dùng chuyển Ethereum và token ERC20.

Trong thời gian này, dYdX đã hợp tác với SEAL và các đối tác khác để chặn các trang web độc hại trên các ví tiền điện tử phổ biến như Metamask và Phantom. Mặc dù đã có những nỗ lực này, hai người dùng đã mất 31.000 đô la trong cuộc tấn công.

Sàn giao dịch dYdX khôi phục trang web sau vụ hack tài khoản Squarespace

Vui lòng xem bài autopsie đầy đủ bên dưới.

• dYdX (@dYdX) ngày 25 tháng 7 năm 2024

Bài phân tích sâu hơn còn cho thấy rằng kẻ tấn công đã đặt email quản trị domain thành một địa chỉ kết thúc bằng outlook.com, với một tên người dùng tương tự như tên pháp lý của người quản lý thanh toán trên tài khoản của dYdX. Điều này gợi ý về một cuộc tấn công kỹ thuật xã hội, khi kẻ tấn công đã sử dụng một địa chỉ email đáng tin cậy.

Theo dYdX, các cuộc trò chuyện với Squarespace cho thấy một lỗi con người đã khởi đầu quá trình tiếp quản trong quá trình phục hồi tài khoản.

Kẻ tấn công đã vượt qua 2FA và thay đổi email tài khoản mà không cung cấp thông tin xác thực bảo mật hợp lệ. Dịch vụ khách hàng của Squarespace không cố gắng liên lạc với bất kỳ quản trị viên nào khác trên tên miền trước khi thực hiện những thay đổi này.

Đáp ứng với cuộc tấn công, dYdX đã chuyển quyền đăng ký miền của mình sang Cloudflare để tăng cường bảo mật. Việc chuyển nhượng được thực hiện nhanh chóng và hoàn thành trong vòng sáu giờ.

dYdX đã xác nhận rằng không có vấn đề bảo mật nào với hợp đồng thông minh, backend s, hoặc Chuỗi dYdX do các sự cố.

website đã được khôi phục bởi Công ty Giao dịch dYdX. 🙏

Vui lòng lưu ý rằng máy của bạn có thể vẫn đang lưu trữ bộ nhớ cache của trang web bị xâm nhập.

Hãy chắc chắn xóa bộ nhớ cache và khởi động lại trình duyệt trước khi kết nối đến trang web.

— dYdX (@dYdX) 23 tháng 7, 2024

Nhóm dYdX đã tuyên bố trên mạng xã hội X, khuyến nghị người dùng xóa bộ nhớ cache trình duyệt và khởi động lại trình duyệt trước khi kết nối lại với trang web để đảm bảo họ không truy cập vào trang web bị đe dọa.

Theo dõi chúng tôi trên Google News