DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享:
DNS可以讓我們訪問目標域名時找到對應的IP:vxhuang33868
Domain->IP_REAL
如果這種指向關系被攻擊者替換了:
Domain->IP_BAD(攻擊者控制)微博小新投資筆記
Gauntlet:Aave v2上存在TUSD異常借貸行為:6月25日消息,DeFi風險管理器Gauntlet在Aave社區發起新提案,建議在Aave v2以太坊上迭代降低LT、LTV和/或凍結TUSD供應,以開始下架TUSD。Gauntlet稱,過去一周,已觀察到Aave v2上TUSD的異常借貸行為,利用率多次達到98%,從6月9日至6月15日一直保持在90%以上,截至6月16日降至74%。Gauntlet表示,因無法量化與中心化穩定幣和監管問題相關的風險,希望向社區提供了幾個選項來衡量對TUSD的偏好和想法:1.迭代降低TUSD的LT清算門檻至77.5%,貸款價值比(LTV)至75%;2.凍結TUSD供應;3.棄權;4.維持現狀。
前兩個選項并不相互排斥,因此這是一次多選投票。此次投票將于6月26日結束。[2023/6/25 21:58:56]
那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。DNS劫持其實分為好幾種可能性,比如常見的有兩大類:
ApeCoin DAO 發起旨在成立元宇宙工作組的新提案 AIP-245:6月2日消息,ApeCoin DAO 社區在 Snapshot 發起新提案 AIP-245 投票,該提案旨在建立一個元宇宙工作組。ApeCoin 元宇宙工作組的任務是持 ApeCoin DAO 內的元宇宙相關工作,推動 APE 文化進入元宇宙,同時發展社區主導的可持續元宇宙基礎設施。如果該提案獲得通過,ApeCoin DAO 將選舉三位管理員負責「元宇宙工作組」。投票將于 6 月 8 日結束。[2023/6/2 11:54:38]
1.域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;
前Twitter財務總監David Bicknell加入Immutable擔任首席財務官:8月25日消息,曾任職Twitter、Facebook財務總監以及AirWallex高級財務副總裁的David Bicknell加入Immutable擔任首席財務官,將負責Immutable資產管理、平衡風險以及未來收購等工作。[2022/8/25 12:48:21]
2.在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。
第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。
Kraken上BTC永續期貨未平倉量達2年低點:金色財經報道,Glassnode數據顯示,當前Kraken上BTC永續期貨合約未平倉量為20,859,882美元,達2年低點。[2022/8/9 12:11:54]
第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。
重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。
對于項目方來說,除了對自己的域名HTTPS+HSTS配置完備之外,可以常規做如下安全檢查:
1.檢查域名相關DNS記錄(A及NS)是否正常;
2.檢查域名在瀏覽器里的證書顯示是否是自己配置的;
3.檢查域名管理的相關平臺是否開啟了雙因素認證;
4.檢查Web服務請求日志及相關日志是否正常。
對于用戶來說,防御要點好幾條,我一一講解下。
對于關鍵域名,堅決不以HTTP形式訪問,
而應該始終HTTPS形式
如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。
對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。
那么這種情況下用戶如何防御呢?用戶除了保持每一步操作的警惕外。
我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。
NoScript默認攔截植入的JavaScript文件。
但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。
隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。
但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的
植入了盜幣有關的惡意代碼。
如果我們之前NoScript信任了Curve,那么這次也可能中招。
可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過
這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。
如果你覺得對你有幫助或有什么要補充的,歡迎參與討論。
親愛的用戶: 幣安密切關注預計將於2022年第三季度/第四季度在以太坊網絡上進行的“合併”計劃,該計劃可能產生新的分叉代幣.
1900/1/1 0:00:00趨勢系列的最后一篇,關于Gamfi的,說實話這篇很糾結,因為我自己都沒有完全看到或者說想清楚Gamfi的下一步趨勢在哪.
1900/1/1 0:00:007:00-12:00關鍵詞:Coinbase、MakerDAO、Celsius、WazirX1.標普下調Coinbase信用評級至BB;2.
1900/1/1 0:00:00KuCoinisextremelyproudtoannounceyetanothergreatprojectcomingtoourtradingplatform.
1900/1/1 0:00:00親愛的8V用戶: 為致力提供更好的交易體驗,8V將于08月11日7:00下架幣幣交易對BSV/USDT,TVK/USDT,MC/USDT,FOR/USDT,CVP/USDT和SOFI/USDT.
1900/1/1 0:00:00尊敬的用戶:? 本著保護用戶的宗旨,BKEX為保證交易幣種的高標準,將定期對平臺內的代幣進行綜合性審查;如項目方出現對投資者不利因素,我們將采取對應措施,并下架對應項目.
1900/1/1 0:00:00